Ducktail: злоумышленники атаковали аккаунты специалистов по маркетингу
«Лаборатория Касперского» изучила одну из последних вредоносных кампаний с использованием семейства вредоносных файлов Ducktail. Злоумышленники атаковали пользователей из Индии, Казахстана, Украины, Германии, Португалии, Ирландии, Греции, Иордании, Пакистана, Вьетнама, ОАЭ, США, Перу и Чили.
Атака проводилась с марта по начало октября 2023 года и была нацелена на специалистов по маркетингу. Злоумышленники распространяли вредоносное ПО под видом документов, связанных с проектами и продукцией крупных компаний и известных брендов. Вредоносный файл устанавливал в браузер жертвы расширение, способное украсть рекламные и бизнес-аккаунты Facebook, вероятно, для дальнейшей продажи.
Во всех случаях Ducktail рассылали от лица крупнейших игроков на рынке одежды. В ходе кампании злоумышленники распространяли архив, в который были упакованы изображения новой продукции легитимных организаций и вредоносный исполняемый файл, замаскированный под PDF-документ с помощью иконки. При запуске вредоносная программа открывала настоящий PDF-файл, зашитый в её код и содержащий информацию о вакансии. Таким образом, злоумышленники атаковали аккаунты специалистов по маркетингу, заинтересованных в смене работы.
«Ducktail — это семейство вредоносных файлов, активное со второй половины 2021 года и по настоящее время и предназначенное для кражи бизнес-аккаунтов Facebook. Важным отличием последней кампании от предыдущих является использование приложений, написанных на Delphi, вместо .NET-приложений, — отметил Валерий Зубанов, управляющий директор «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии.
Чтобы защититься от постоянно развивающихся угроз, эксперты рекомендуют: