Samenvatting
Hackers maken gebruik van kwaadaardige browserextensies om te infiltreren Facebook Business-accounts in een nieuwe cyberveiligheidsdreiging. De beruchte Ducktail-familie, bekend om het ontwikkelen van informatiestelende malware, is geïdentificeerd als een cruciale speler in deze kwaadaardige activiteit. Het artikel gaat in op hoe de hack ontstaat en welke maatregelen genomen kunnen worden om ertegen te beschermen.
Facebook Business-accounts staan onder een nieuwe dreiging. De dader? Schadelijke browserextensies ontwikkeld door de beruchte Ducktail-familie.
“De enige beveiligde computer is losgekoppeld, opgesloten in een kluis en zes meter onder de grond begraven op een geheime locatie… en daar ben ik niet eens zo zeker van.” – Dennis Hughes, FBI.
Dit citaat klinkt nauwkeuriger dan ooit in het digitale landschap van vandaag.
De Modus Operandi van de Ducktail-familie
Ducktail is een speciaal ontworpen informatiedief die tot ernstige gevolgen kan leiden, zoals privacyschendingen, financiële verliezen en identiteitsdiefstal. Dankzij de voortdurende updates kan het de beveiligingsmaatregelen van de meeste sociale-mediaplatforms omzeilen, waarbij de nadruk vooral ligt op advertenties en zakelijke accounts.
Het uiteindelijke doel van de hack is om zich te richten op de Facebook-accounts van de werknemers van de organisatie die ofwel tamelijk hoge posities bekleden of werkzaam zijn in HR, digitale marketing of socialemediamarketing, zoals gerapporteerd door Kaspersky. De criminelen sturen kwaadaardige archieven naar hun potentiële slachtoffers, waarbij ze op thema’s gebaseerde foto’s en videoclips over een gedeeld onderwerp als lokaas in de archieven gebruiken.
Malware vermommen als mode
Het merendeel van de e-mails in het archief heeft een ouderwets thema. Prominente deelnemers uit de modebranche kregen e-mails uit hun naam met daarin archieven met kledingfoto’s. Het document lijkt een PDF-bestand te zijn, maar bevat schadelijke bestanden die uw computer kunnen beschadigen. De bestandsnamen zijn zorgvuldig gekozen om relevant te lijken en de ontvanger te overtuigen erop te klikken. Het is van cruciaal belang om voorzichtig te zijn bij het omgaan met onbekende bestanden om potentiële veiligheidsrisico’s te omzeilen.
De Bait and Switch-techniek
Hoewel de namen in de campagne met een modethema verband houden met ‘richtlijnen en vereisten voor kandidaten’, kunnen ook andere vormen van lokaas, zoals prijslijsten of commerciële aanbiedingen, worden gebruikt. Nadat het slachtoffer het exe-bestand heeft geopend, wordt de inhoud van een Pdf bestand dat de kwaadaardige code heeft ingesloten. Tegelijkertijd scant de malware alle snelkoppelingen op het bureaublad, het Start-menu en de werkbalk Snel starten.
Het zoekt naar snelkoppelingen naar browsers die op het Chromium-platform draaien, zoals Microsoft Edge, Vivaldi, Brave en Google Chrome. Zodra het er een heeft gevonden, wijzigt het virus de opdrachtregel van het uitvoerbare bestand om een instructie op te nemen om een browserextensie te installeren.
Offline nabootsen van Google Documenten
Hierna beëindigt het kwaadaardige script het browserproces, waardoor de gebruiker wordt overgehaald om het opnieuw te starten met behulp van een van de gewijzigde snelkoppelingen en het downloaden van valse extensies in hun systemen, waarbij het hetzelfde symbool en dezelfde beschrijving gebruikt om zich voor te doen als Google Documenten offline. De extensie steelt ook de actieve sessiecookies van de browser, die ongeauthenticeerde login op Facebook-accounts mogelijk maken, van aceboothose naar het apparaat van het slachtoffer.
Tegenmaatregelen ter bescherming tegen kwaadaardige browserextensies
Bij het downloaden van bestanden van verdachte sites is het raadzaam dit op officiële werkcomputers te vermijden. Controleer altijd de extensies van alle bestanden die u van internet of e-mail downloadt voordat u ze opent. Er mag nooit op een bestand met een EXE-extensie worden geklikt dat een legitiem document lijkt, omdat het om schadelijke software gaat.
