Ducktail - это семейство вредоносных программ, активное со второй половины 2021 года и предназначенное для кражи бизнес-аккаунтов в Facebook. Об атаках Ducktail рассказали Kaspersky Daily Iran, WithSecure и GridinSoft: инфопохититель распространялся под видом документов, касающихся проектов и продуктов известных компаний и брендов. Предположительно, группа, стоящая за атаками Ducktail, родом из Вьетнама.
Kaspersky Lab проанализировали одну из последних кампаний, которая проводилась в период с марта по начало октября 2023 года и была направлена на специалистов по маркетингу. Важной отличительной особенностью этой кампании является то, что в отличие от предыдущих кампаний, которые опирались на приложения .NET, в этой кампании в качестве языка программирования использовался Delphi.
В рамках этой кампании злоумышленники рассылали архив с изображениями новых продуктов добросовестных компаний, а также вредоносный исполняемый файл, замаскированный под значок PDF. При запуске вредоносная программа открывала настоящий, встроенный PDF-файл, содержащий информацию о вакансии. Атака была рассчитана на специалистов по маркетингу, желающих сменить профессию. Выбор жертв и характерные средства, использованные злоумышленником, позволили нам с самого начала предположить, что речь идет о распространении новой версии Ducktail.
Вредоносная программа устанавливала расширение для браузера, способное похищать бизнес-аккаунты и рекламные аккаунты Facebook, вероятно, для последующей продажи.
Indicators of Compromise
Domains
- cavoisatthu2023asd.com
- dauhetdau.com
- motdanvoi20232023.com
- voiconprivatesv2083.com
SHA256
- 04dd228d0b088c4116b503c31de22c1746054226a533286bec3a3d0606d73119
- 06afd110d91419ece0114a7fdeaeba4e79fbc9f2a0450da8b4f264e4ae073a26
- 1117a93b4b4b78e4d5d6bd79f5f0e04926759558218df30e868464f05bf1bd3d
- 1183cd0b8c7f1489f0e3789efa1a7fc07852ec12c6e8964c87d7ad0fd42e2da0
- 251fbded1a78b553da1bdb315c3838dfeef5e9f74aa2fb0ba54173256320fda0
- 2b3decf08bf9223fb3e3057b5a477d35e62c0b5795a883ceaa9555ca7c28252f
- 4a9bd638d295328f0e10b46a00f354c6813159a93b62f25c2e4d7dcd0622e7f1
- 554353cda0989c3a141c2ab0d0db06393e4f3fd201727e8cf2ed8d136f87d144
- 5ea5ffb0ae8edfbbd6b33bca957be3e2d75f1c7a762e9361da33522a756b72b2
- 64f6cbe9adf91bc4ed457c79643d764a130b0d25364817c8b6da17b03ff91aa7
- 655a8ea3bc1baff01639dcdc43a294f8a5dc622e543d8f51e9d51c6eaaae6f6e
- 69257876e2ec5bdbe7114d6ce209f13afbfddb2af0006a6d17e6e91578966870
- 72d7c8f2b3f9534913c946205dcf30eaa58620e5291fd8176f636d828ee0a3c9
- 7da7ca7fcbc6e8bc22b420f82ae5756ecd3ad094b8ebcbd5a78a2362eb87b226
- 81f7463ee2a6714059b34988cca25ecaf86490d0c41d5a30c4bd3d3a698705c1
- 891236f5a3fef2b56931684fc6f4e9498a9fea3f74f2e803fa2eddfa88903dbe
- 89f016d32707f096cc8daf674e5a9fc2ba6cf731d610f5303d997fc848645788
- a69c5ee46d53b9d3b0b75f27f7e69c2f7b571e3c766c2378faa74141188e4c21
- ab95f377bf7ae66d26ae7d0d56b71dec096b026b8090f4c5a19ac677a9ffe047
- b9a984383a5825868c23bc3afdc70e3af2a56d26d002431940d2429c8e88ace9
- ba8eb1a7f18e4cfca7dd178de1546d42ffb50028c8f3f7ba6551f88c11be75db
- bde696a0ae901864716320e3111d5aa49cba3b1d9375dce2903f7433a287b2f2
- bdf8dea28f91adcba7780a26951abc9c32a4a8c205f3207fd4f349f6db290da7
- c6ae36e28668c6132da4d08bca7ceb13adf576fa1dbdb0a708d9b3b0f140dd03
- c82b959d43789d3dbf5115629c3c01fa8dd599fbec36df0f4bc5d0371296545a
- d03e1a0fce0b112bba4d56380c8d1be671845dd3ed90ec847635ba6015bad84d
- d2a14b2352115f3f420bb7d577e162fae8d0f0ad6c3ae253f9243f1c29e9cd84
- d4f10bd162ee77f4778ecc156921f5949cd2d64aab45b31d6050f446e59aed5a
- da13db80b0f3c25b512a1692494f303eff1ff1778a837208f79e2f3c81f8192e
- e8cebc5152cd3f7496f0471de5e5af439c15df16827ea296e84fcd5f348b2690
- f59e2672f43f327c9c84c057ad3840300a2cd1db1c536834f9e2531c74e5fd1c
