“DUCKTAIL” Malware que roba información dirigido a cuentas comerciales de Facebook
“DUCKTAIL” Malware que roba información dirigido a cuentas comerciales de Facebook
WithSecure ha descubierto una operación en curso (denominada “DUCKTAIL”) que se dirige a personas y organizaciones que operan en la plataforma Business/Ads de Facebook.
El hacker se dirige a individuos y empleados que pueden tener acceso a una cuenta comercial de Facebook con un malware de ladrón de información. El malware está diseñado para robar cookies del navegador y aprovechar las sesiones autenticadas de Facebook para robar información de la cuenta de Facebook de la víctima y, en última instancia, secuestrar cualquier cuenta de Facebook Business a la que la víctima tenga suficiente acceso.
El secuestro se logra agregando la dirección de correo electrónico del hacker a la cuenta comercial de Facebook con roles de administrador y editor de finanzas. En esencia, esto proporciona al actor de amenazas acceso sin restricciones a la cuenta.
Hemos observado que las personas con roles gerenciales, de marketing digital, de medios digitales y de recursos humanos en las empresas han sido el objetivo. WithSecure ha identificado casos en los que el malware se entregó a las víctimas a través de LinkedIn.
Según el análisis y los datos recopilados, hemos determinado que la operación la lleva a cabo un hacker vietnamita. La cadena de evidencia sugiere que los motivos del actor de la amenaza son financieros.
La popularidad de las redes sociales y las plataformas de medios sigue aumentando, y esperamos que los ciberdelincuentes se sientan naturalmente atraídos por explotarlas como puedan. Creemos que esta tendencia continuará a medida que los ciberdelincuentes abusen cada vez más de estas plataformas para lograr objetivos que incluyen la distribución de malware, el robo, las campañas de desinformación y el fraude. Hasta ahora, hemos sido relativamente afortunados: nuestros ejemplos más recientes de delitos informáticos basados en redes sociales revelan hackers que utilizan motivos relativamente leves (monetización). Las futuras campañas de ciberdelincuentes en las plataformas de redes sociales pueden no ser tan suaves.
Se puede descargar un informe completo que describe la línea de tiempo de las actividades de DUCKTAIL, un análisis detallado de su componente de malware y apéndices que contienen indicadores de compromiso, reglas de detección de Yara, metadatos y técnicas MITRE ATT&CK desde un enlace en esta página.
Prevención
Como en todas las operaciones de esta naturaleza, la vigilancia y el estado de alerta son claves para evitar convertirse en víctima. Muchas campañas de spear phishing se dirigen a los usuarios de LinkedIn, y si tiene un rol que tiene acceso de administrador a cuentas de redes sociales corporativas, es importante tener cuidado al interactuar con otros en las plataformas de redes sociales. No hace falta decir que también se debe tener precaución cuando se trata de archivos adjuntos o enlaces enviados por personas con las que no está familiarizado.
Detección
WithSecure Elements Detección y respuesta de puntos finales
WithSecure Elements Endpoint Detection and Response detecta múltiples etapas del ciclo de vida del ataque. Esto generará un solo incidente con detecciones detalladas, que incluyen:
- Ladrón de información Ducktail detectado
- Descarga de Registros de Cabecera en Navegador
- Carga de módulo de bot de telegram Dotnet
- Archivo de base de datos del navegador web accedido
- Conexión anormal a la api de Telegram
ConSecure Elements Endpoint Protection
WithSecure Elements Endpoint Protection ofrece múltiples detecciones que detectan el malware y su comportamiento. Asegúrese de que la protección en tiempo real y DeepGuard estén habilitados. Puede ejecutar un análisis completo en su terminal. Nuestros productos actualmente ofrecen las siguientes detecciones contra el malware:
- Troyano:W32/DuckTail.*
- Troyano:W32/SuspiciousDownload.A!DeepGuard
- Troyano:W32/WindowsDefenderExclusion.A!DeepGuard
- Bloqueo de certificados maliciosos
Mitigación
Recomendamos revisar los usuarios agregados a su cuenta comercial de Facebook a través del administrador comercial de Meta y revocar el acceso a los usuarios desconocidos a los que se les otorgó acceso de administrador (con función de editor de finanzas).
Como el malware extrae todas las cookies del navegador robadas, recomendamos finalizar todas las sesiones de autenticación del navegador y restablecer sus credenciales de inicio de sesión existentes.
referencia: https://www.withsecure.com/en/expertise/research-and-innovation/research/ducktail-an-infostealer-malware?utm_source=linkedin&utm_medium=paid-social&utm_campaign=gl-bsbu-ducktail&utm_content=promoted-post