Un actor de amenazas motivado financieramente que apunta a individuos y organizaciones en la plataforma de anuncios y negocios de Facebook ha reanudado sus operaciones después de una breve pausa, con una nueva bolsa de trucos para secuestrar cuentas y sacar provecho de ellas.
La campaña de amenazas con sede en Vietnam, denominada Ducktail, ha estado activa desde al menos mayo de 2021 y ha afectado a los usuarios con cuentas comerciales de Facebook en los Estados Unidos y más de tres docenas de otros países. Los investigadores de seguridad de WithSecure (anteriormente F-Secure) que están rastreando a Ducktail han evaluado que el objetivo principal del actor de amenazas es enviar anuncios de manera fraudulenta a través de las cuentas comerciales de Facebook de las que logran obtener el control.
Tácticas en evolución
WithSecure detectó la actividad de Ducktail a principios de este año y reveló detalles de sus tácticas y técnicas en una publicación de blog de julio. La divulgación obligó a los operadores de Ducktail a suspender las operaciones brevemente mientras ideaban nuevos métodos para continuar con su campaña.
En septiembre, Cola de pato resurgió con cambios en su forma de operar y en sus mecanismos para evadir la detección. Lejos de desacelerar, el grupo parece haber ampliado sus operaciones, incorporando múltiples grupos afiliados a su campaña, dijo WithSecure en un informe del 22 de noviembre.
Además de usar LinkedIn como una vía para objetivos de phishing selectivo, como lo hizo en campañas anteriores, el grupo Ducktail ahora ha comenzado a usar WhatsApp para segmentar usuarios también. El grupo también modificó las capacidades de su principal ladrón de información y adoptó un nuevo formato de archivo para evadir la detección. En el transcurso de los últimos dos o tres meses, Ducktail también ha registrado varias empresas fraudulentas en Vietnam, aparentemente como una tapadera para obtener certificados digitales para firmar su malware.
“Creemos que la operación Ducktail utiliza el acceso a cuentas comerciales secuestradas únicamente para ganar dinero mediante la publicación de anuncios fraudulentos”, dice Mohammad Kazem Hassan Nejad, investigador de WithSecure Intelligence.
En situaciones en las que el actor de amenazas obtiene acceso al rol de editor de finanzas en una cuenta comercial de Facebook comprometida, también tiene la capacidad de modificar la información de la tarjeta de crédito comercial y los detalles financieros, como transacciones, facturas, gastos de cuenta y métodos de pago, dice Nejad. . Esto permitiría al actor de amenazas agregar otras empresas a la tarjeta de crédito y las facturas mensuales, y usar los métodos de pago vinculados para publicar anuncios.
“Por lo tanto, el negocio secuestrado podría usarse para fines como publicidad, fraude o incluso para difundir desinformación”, dice Nejad. “El actor de amenazas también podría usar su nuevo acceso para chantajear a una empresa bloqueándolos de su propia página”.
Ataques dirigidos
La táctica de los operadores de Ducktail es identificar primero las organizaciones que tienen una cuenta de Facebook Business o Ads y luego dirigirse a las personas dentro de esas empresas que perciben que tienen acceso de alto nivel a la cuenta. Las personas a las que el grupo se ha dirigido típicamente incluyen personas con roles gerenciales o roles en marketing digital, medios digitales y recursos humanos.
La cadena de ataque comienza cuando el actor de amenazas envía a la persona objetivo un señuelo de phishing selectivo a través de LinkedIn o WhatsApp. Los usuarios que caen en la tentación terminan teniendo instalado el ladrón de información de Ducktail en su sistema. El malware puede llevar a cabo múltiples funciones, incluida la extracción de todas las cookies del navegador almacenadas y las cookies de la sesión de Facebook de la máquina de la víctima, datos de registro específicos, tokens de seguridad de Facebook e información de la cuenta de Facebook.
El malware roba una amplia gama de información sobre todas las empresas asociadas con la cuenta de Facebook, incluido el nombre, las estadísticas de verificación, los límites de gasto publicitario, las funciones, el enlace de invitación, la identificación del cliente, los permisos de la cuenta publicitaria, las tareas permitidas y el estado de acceso. El malware recopila información similar en cualquier cuenta publicitaria asociada con la cuenta de Facebook comprometida.
El ladrón de información puede "robar información de la cuenta de Facebook de la víctima y secuestrar cualquier cuenta comercial de Facebook a la que la víctima tenga suficiente acceso agregando direcciones de correo electrónico controladas por el atacante a la cuenta comercial con privilegios de administrador y roles de editor de finanzas", dice Nejad. Agregar una dirección de correo electrónico a una cuenta comercial de Facebook hace que Facebook envíe un enlace por correo electrónico a esa dirección, que, en este caso, está controlada por el atacante. El actor de amenazas usa ese enlace para obtener acceso a la cuenta, según WithSecure.
Los actores de amenazas con acceso de administrador a la cuenta de Facebook de una víctima pueden causar mucho daño, incluido tomar el control total de la cuenta comercial; ver y modificar configuraciones, personas y detalles de la cuenta; e incluso eliminar el perfil comercial por completo, dice Nejad. Cuando una víctima objetivo podría no tener acceso suficiente para permitir que el malware agregue las direcciones de correo electrónico del actor de la amenaza, el actor de la amenaza se basó en la información extraída de las máquinas de las víctimas y las cuentas de Facebook para hacerse pasar por ellos.
Creación de malware más inteligente
Nejad dice que las versiones anteriores del ladrón de información de Ducktail contenían una lista codificada de direcciones de correo electrónico para usar para secuestrar cuentas comerciales.
“Sin embargo, con la campaña reciente, observamos que el actor de amenazas eliminó esta funcionalidad y se basó por completo en obtener direcciones de correo electrónico directamente desde su canal de comando y control (C2)”, alojado en Telegram, dice el investigador. Tras el lanzamiento, el malware establece una conexión con el C2 y espera un tiempo para recibir una lista de direcciones de correo electrónico controladas por el atacante para continuar, agrega.
El informe enumera varios pasos que la organización puede tomar para mitigar la exposición a campañas de ataques similares a Ducktail, comenzando con crear conciencia sobre las estafas de phishing dirigido a usuarios con acceso a cuentas comerciales de Facebook.
Las organizaciones también deben hacer cumplir la lista blanca de aplicaciones para evitar que se ejecuten ejecutables desconocidos, asegurarse de que todos los dispositivos administrados o personales que se usan con las cuentas de Facebook de la empresa cuenten con higiene y protección básicas, y utilizar la navegación privada para autenticar cada sesión de trabajo al acceder a las cuentas de Facebook Business.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
