Ducktail

Ducktailは、2021年から活動が観測されているインフォスティーラー型マルウェアです。
Ducktailという単語は、他の意味でも使われます。
衣料品メーカーの社名、レインコートメーカーの社名、衣料品販売店の店名に見られますし、1950年代に流行した男性用の髪形の名前として使われます。
この単語は衣料品に興味がある方々からすると、違和感のない単語になっているのかもしれません。
この脅威は活動期間を通じて動きが変更されてきていますが、現在の感染はどのように進むのでしょうか。

• 始まりはメール
  脅威アクターは添付ファイルの付いたメールをターゲットに送ります。
• 添付ファイルはアーカイブファイル
  アーカイブファイルの中身は、画像ファイルや動画ファイルです。
  そしてそれらと一緒に、PDFファイルが含まれています。
  画像などの内容とPDFのファイル名を工夫することで、転職を考えているファッション業界のマーケティング専門家が諸条件の記載されていると思えるファイル名のPDFを開くように仕向けます。
  ちなみに、そのメールは大手衣料品会社の名前で送信されたものとなっています。
• PDFを開く
  PDFを開くと、PDFが表示されます。
  しかし、他の仕事も開始されます。
  PDFを開く操作をしたときに、param.ps1という名前のPowerShellスクリプトとPDFのおとりファイルがローカルのC:\Users\Publicに保存されます。
• しばらく休んでから動作する
  配置されたPowerShellスクリプトは、すぐには目立つ活動は行いません。
  裏側で、DLLを配置して読み込み、デスクトップやスタートアップにある各種LNKファイルを検出します。
  そして、そのなかから、Chromeの起動用のものを選び出し、起動オプションを追加します。
  追加される起動オプションは、拡張機能を使用するためのオプションです。
  そしてさらに、スクリプトはGoogleドキュメントオフラインに偽装した拡張機能を配置します。
  最初にスクリプトが動作してから5分後まで待機し、すべての準備が終わった状態でChromeを再起動します。
  画面の表側ではPDFのおとりファイルを表示していますので、被害者はまだそれを見ている状態ということが期待されているということのようです。
• 再起動の完了したChromeは侵害済み
  再起動の完了したChromeは、悪意ある拡張機能を有効化した状態で動作を開始しています。
  開いているすべてのブラウザタブの詳細をC2に盗み出します。
  Facebookのアカウント情報を盗みます。
  攻撃の中では、二要素認証を回避する機構も使用されます。

以前のDucktailは.Netのバイナリとして実装されていましたが、この活動のマルウェアはDelphiで実装されていました。
.Netのバイナリの検出機能をもつセキュリティソリューションは多くなってきていますが、Delphiのバイナリの検出を得意とするセキュリティソリューションは、まだ多くないということかもしれません。

Webサイトを閲覧する前に、そのURLが妥当なものであるかを確認するということは、ある程度定着してきた対策になってきているかもしれません。
こういった活動に加えて、受信したメールの送信者が本当にその送信者であるのかということを疑って確認するということも、必要ということになりそうです。
攻撃者は巧みに魅力ある内容を提示してきます。
仕事関連のコンテンツなので大丈夫、などと安心してよい範囲は期待できないようです。

参考記事（外部リンク）：Ducktail fashion week
securelist.com/ducktail-fashion-week/111017/