DUCKTAIL-Malware nutzt LinkedIn-Nachrichten für Angriffe

LinkedIn-Nachrichten wurden als Vehikel für Identitätsdiebstahlangriffe in einer von Cluster25 entdeckten böswilligen Kampagne genutzt.

Die Angreifer versenden Nachrichten von gehackten Konten, die PDF-Dateien mit scheinbaren Jobangeboten enthalten. Diese Dateien verbergen jedoch Links zu gefährlichen Websites, die Daten stehlen können.

Kampagnendetails: Cluster25, eine auf Bedrohungsintelligenz und Vorfallsreaktion spezialisierte Cybersicherheitsfirma, identifizierte diese Kampagne durch die Analyse von von den Angreifern verwendeten schädlichen Domänen und URLs.

Die Hacker verwenden eine Malware namens DuckTail, die auch in der Lage ist, Facebook Business-Konten zu übernehmen. Insbesondere Personen aus den Bereichen Vertrieb und Finanzen in Italien sind die Hauptziele dieser Attacke.

So funktioniert der Betrug: Nachrichten von gehackten LinkedIn-Konten enthalten ein PDF mit einem Jobangebot, beispielsweise für eine Position als Senior Manager bei Electronic Arts (EA). Das PDF enthält zwei Links: Einer führt zu einer gefälschten EA-Website, die Sie auffordert, Ihren Lebenslauf hochzuladen. Der andere lädt eine ZIP-Datei von Microsoft OneDrive herunter, die neben Videodateien auch Malware getarnte Word-Dokumente enthält.

Diese Malware-Dateien sind besonders schwer von Antivirensoftware zu erkennen, da sie eine spezielle Technik, die Single-File-Application-Methode, verwenden. Werden diese Dateien ausgeführt, versuchen sie, Informationen wie Cookies, Sitzungsdaten und Browser-Anmeldeinformationen zu stehlen und können auch versuchen, auf Ihr Facebook Business-Konto zuzugreifen.

Einige Angreifer haben eine gefälschte DLL-Datei erstellt, die Ihren Webbrowser überwachen und Daten über Telegram an sie senden kann. Die DLL-Datei, erstellt am 18. September 2023, kann Daten aus Browsern wie Microsoft Edge, Google Chrome, Brave Browser und Mozilla Firefox stehlen.

Darüber hinaus läuft die DLL-Datei weiterhin im Hintergrund und sendet Daten an die Hacker, wobei sie auch versucht, das Facebook Business-Konto des Opfers zu übernehmen.

Schutzmaßnahmen: Angesichts dieser gefährlichen Angriffsmethode, die sich insbesondere an LinkedIn-Nutzer richtet, wird dringend empfohlen, Vorsicht bei unbekannten Dateien oder Links zu walten und stets Antivirensoftware zum Schutz des Computers zu verwenden.