DUCKTAIL-haittaohjelman LinkedInin kautta tekemät kohdennetut tietojenkalasteluyritykset (engl. spear phishing) ovat kohdistuneet markkinointi- ja henkilöstöhallinta-alojen ammattilaisiin. Uhreilta automaattisesti tietoja keräävän infostealer-tyyppisen haittaohjelman tavoitteena on yritystilien hallinnan kaappaaminen Facebookissa rahallisen hyödyn saamiseksi.
Helsinki – 26.7.2022: WithSecure™ on havainnut DUCKTAIL-nimisen tietovarkauskampanjan (engl. infostealer), joka on kohdistunut henkilöihin ja organisaatioihin, jotka käyttävät Facebookin Ads ja Business Manager -alustaa. WithSecuren™ tutkimusten perusteella on erittäin todennäköistä, että edelleen jatkuvan kampanjan taustalla on vietnamilainen uhkatoimija. Tutkimuksessa kerätyt tiedot viittaavat uhkatoimijan pyrkivän saamaan hyökkäyksillään rahallista hyötyä.
DUCKTAIL sisältää niin sanotun infostealer-komponentin, jonka ominaisuuksiin kuuluu yritystilien hallinnan kaappaaminen Facebookissa. Kyseessä on ensimmäinen kerta, kun WithSecure™ on havainnut kyseisen kaltaisen toiminnallisuuden haittaohjelmassa, mikä tekee DUCKTAILista poikkeuksellisen aiempiin Facebookiin keskittyviin haittaohjelmiin verrattuna. Haittaohjelma on suunniteltu keräämään evästetietoja uhrin verkkoselaimesta ja tätä kautta hyödyntämään todennettua Facebook-istuntoa kaapatakseen Facebook Business -tilin hallinnan, johon uhrilla on riittävän laajat käyttöoikeudet.
WithSecure™ on havainnut DUCKTAILin hyödyntävän uhrien kartoittamisessa ja tietojenkalasteluyrityksissä LinkedIniä. DUCKTAIL pyrkii kohdentamaan kalasteluyrityksensä käyttäjiin, joilla se arvioi todennäköisimmin olevan mahdollisimman laajat – ja erityisesti ylläpitäjän – käyttöoikeudet Facebook Business -tilillä.
“Uskomme, että DUCKTAILin taustalla olevat toimijat valikoivat kohteensa tarkasti parantaakseen onnistumismahdollisuuksiaan ja pysyäkseen piilossa. Olemme havainneet DUCKTAILin kohteiden joukkoon lukeutuvan yrityksissä johtotehtävissä sekä digitaalisen markkinoinnin, median ja henkilöstöhallinnan parissa työskenteleviä henkilöitä”, WithSecure™ Intelligencen tutkija Mohammed Kazem Hassan Nejad kertoo.
“Uskomme, että DUCKTAILin taustalla olevat toimijat valikoivat kohteensa tarkasti parantaakseen onnistumismahdollisuuksiaan ja pysyäkseen piilossa. Olemme havainneet DUCKTAILin kohteiden joukkoon lukeutuvan yrityksissä johtotehtävissä sekä digitaalisen markkinoinnin, median ja henkilöstöhallinnan parissa työskenteleviä henkilöitä”, WithSecure™ Intelligencen tutkija Mohammed Kazem Hassan Nejad kertoo.
Haittaohjelma havaittiin ensi kertaa aiemmin tänä vuonna, minkä jälkeen WithSecure™ alkoi seurata ja analysoida tarkemmin sen toimintaa. Tutkimusten perusteella DUCKTAILin taustalla oleva uhkatoimija aloitti haittaohjelman kehittämisen ja jakelemisen vuoden 2021 jälkipuoliskolla. Toimija on sittemmin jatkokehittänyt ja jatkanut haittaohjelman jakelemista parantaakseen muun muassa sen kykyä välttää Facebookin nykyisiä tai uusia turvallisuusominaisuuksia.
Vaikka WithSecurella™ on sen EPP-alustoilla ja EDR -ratkaisuissa käytössä toimintoja kyberuhkien havaitsemiseksi ja laitteiden turvaamiseksi – myös hyökkäysten elinkaaren eri vaihteita varten – korostaa Mohammad Kazem Hassan Nejad samalla valppauden merkitystä hyökkäysten estämisessä. “Monet tietojenkalasteluyritykset kohdistuvat LinkedIn-käyttäjiin. Jos sinulla on työtehtäviesi kautta ylläpitäjän oikeudet yhtiön sosiaalisen median tileihin, on syytä olla varovainen toimiessaan sosiaalisessa mediassa – erityisesti silloin, jos vastaanottaa liitetiedostoja tai linkkejä tuntemattomilta käyttäjiltä”, Mohammed Kazem Hassan Nejad lisää.
Sosiaalisen median alustojen suosio on edelleen kasvussa. Suosion varjopuolena on, että myös kyberrikolliset pyrkivät etsimään tapoja hyödyntää alustoja esimerkiksi tietovarkauksissa, huijauksissa, disinformaatiokampanjoissa sekä haittaohjelmien levittämisessä. Erityisesti Facebookin kaltaisilla sosiaalisen median alustoilla toimivat haittaohjelmat ovat olleet tähän asti suhteellisen harvinaisia alustojen tietoturvatoimien ansiosta. Alustojen mahdollistama laaja saavutettavuus ja suuri käyttäjämäärä tekevät niistä kuitenkin kiinnostavia myös kyberrikollisten näkökulmasta.
WithSecure™ on jakanut DUCKTAILiin kohdistuvissa tutkimuksissa keräämänsä tiedot Facebookin emoyhtiö Metalle ennen tiedotteen julkaisua. Yksityiskohtainen ja englanninkielinen raportti DUCKTAILin toiminnasta sekä MITRE-arviointikehykseen perustuva yleiskatsaus hyökkäyksestä löytyy täältä.
Median yhteyshenkilö
Mark Fletcher
+358443434274
WithSecure™ lyhyesti
WithSecure™ on kyberturvallisuuden luotettava kumppani. Yritykset, IT-palveluntarjoajat, suurimmat rahoituslaitokset, teollisuusvalmistajat ja tuhannet viestintä- ja teknologiayritykset luottavat meihin tuloksellisessa kyberturvallisuuden tekemisessä, joka mahdollistaa turvallisen liiketoiminnan. Tekoälypohjainen tuoteajattelu suojaamisessa varmistaa päätelaitteiden sekä pilvipalveluiden turvallisuuden. Asiantuntijamme käyttävät apuna älykkäitä uhkien tunnistus- ja vastaustyökalujamme kyberhyökkäyksiin vastaamisessa ja uhkien ennakoinnissa. Konsulttimme tekevät asiantuntijatyötä suuryritysten ja yrityskentän edelläkävijöiden kanssa rakentaakseen yhdessä yhteiskunnan kyberresilienssiä. Yli 30 vuoden kokemus tietoturvasta ja teknologiasta on liiketoimintamme ydin, ja olemme rakentaneet portfoliomme kasvamaan joustavasti yhdessä kumppaneidemme kanssa.
WithSecure™ aiemmin F-Secure Yritystietoturva, on perustettu vuonna 1988 — NASDAQ OMX Helsinki.