Notícias de dispositivos móveis, gadgets, aplicativos Android

Opera√ß√£o Ducktail ‚Äď Hackers podem roubar suas credenciais do navegador da web

Com o Secure Labs, os pesquisadores descobriram uma opera√ß√£o cibern√©tica chamada Ducktail em julho de 2022, onde os agentes de amea√ßas empregaram malware para roubo de informa√ß√Ķes para atingir especificamente profissionais de marketing e RH com campanhas de spear-phishing por meio de mensagens diretas do LinkedIn, com foco em indiv√≠duos e funcion√°rios com potencial acesso a Facebook contas empresariais.

A campanha Ducktail pode comprometer Facebook contas comerciais e usar indevidamente o recurso de an√ļncio para publicidade maliciosa. Enquanto junto com Facebooko LinkedIn tamb√©m √© agora alvo ativo de agentes de amea√ßas para atividades cibercriminosas.

Equipe de XDR gerenciado da Trend Micro em março de 2023 encontrei um arquivo que coleta dados do usuário e se conecta a Facebook e domínios Telegram durante a investigação de incidentes relacionados ao Ducktail.

Como os agressores enganam a vítima

O nome do arquivo de amostra, fazendo referência a uma vaga de diretor de marketing, parece adaptado especificamente para atrair profissionais de marketing, sugerindo uma posição de liderança mais elevada.

Embora o método exato de entrega desses links ao alvo seja incerto, o uso histórico de mensagens do LinkedIn pela Ducktail sugere-o como um meio potencial.

Os especialistas determinaram o conte√ļdo e a origem do arquivo examinando o nome do arquivo e, ao investigarem o dom√≠nio, descobriram que o arquivo malicioso estava hospedado em Appledo servi√ßo iCloud, embora o URL esteja atualmente inativo.

Ao analisar os processos criados, os pesquisadores de segurança identificaram três, incluindo processos separados para Microsoft Edge e Google Chrome, que coletam endereços IP e dados de geolocalização das vítimas.

A seguir, mencionamos os argumentos que s√£o usados ‚Äč‚Äč‚Äč‚Äčnesses processos: –

  • -sem cabe√ßa
  • ‚Äďdesabilitar-gpu
  • ‚Äďdesativar registro
  • ‚Äďdump-dom

O √ļltimo processo √© usado para abrir um arquivo PDF, e os detalhes completos sobre o trabalho falso est√£o incorporados neste PDF.

N√≥s recomendamos:  5G Apple vendas do iPhone podem decepcionar no pr√≥ximo ano

O malware opera extraindo credenciais do navegador e adquirindo Facebook-informação relacionada. Ao mesmo tempo, as vítimas leem o arquivo PDF gerado, armazenando-o em um arquivo de texto temporário antes de exfiltrá-lo usando o Telegram a cada 10 minutos.

Devido ao uso frequente de iscas de engenharia social por atores de amea√ßas contempor√Ęneos, tanto indiv√≠duos quanto organiza√ß√Ķes precisam ter cautela ao abrir links ou baixar arquivos de fontes desconhecidas, independentemente de serem entregues atrav√©s de plataformas de m√≠dia social renomadas ou de meios como:-

Recomenda√ß√Ķes de seguran√ßa

A seguir, mencionamos todas as melhores práticas de segurança que podem ajudar os usuários a mitigar ataques de spear-phishing:-

  • Cuidado com e-mails inesperados; precau√ß√£o no exerc√≠cio.
  • Sempre verifique a identidade do remetente antes de abrir anexos de fontes desconhecidas.
  • Evite links suspeitos, especialmente de fontes desconhecidas ou suspeitas.
  • Eduque os funcion√°rios sobre o spear phishing para reconhec√™-lo e evit√°-lo.
  • Habilite a autentica√ß√£o multifator para maior seguran√ßa.