Los operadores del ladrón de información Ducktail han demostrado una “voluntad implacable de persistir” y continuaron actualizando su malware como parte de una campaña en curso impulsada financieramente.
“El malware está diseñado para robar cookies del navegador y aprovechar las sesiones autenticadas de Facebook para robar información de la cuenta de Facebook de la víctima”, dijo Mohammad Kazem Hassan Nejad, investigador de WithSecure. dijo en un nuevo análisis.
“En última instancia, la operación secuestra las cuentas comerciales de Facebook a las que la víctima tiene suficiente acceso. El actor de amenazas utiliza su acceso obtenido para publicar anuncios para obtener ganancias monetarias”.
Atribuida a un actor de amenazas vietnamita, la campaña Ducktail está diseñada para apuntar a empresas en los sectores de publicidad y marketing digital que están activos en la plataforma Facebook Ads and Business.
También están dirigidos a personas dentro de posibles empresas que probablemente tengan acceso de alto nivel a las cuentas de Facebook Business. Esto incluye personal de marketing, medios y recursos humanos.
La actividad maliciosa fue documentada por primera vez por la compañía de ciberseguridad finlandesa en julio de 2022. Se cree que la operación está en marcha desde la segunda mitad de 2021, aunque la evidencia apunta a que el actor de amenazas estuvo activo desde finales de 2018.
Un análisis posterior realizado por Zscaler ThreatLabz el mes pasado descubrió una versión PHP del malware distribuido como instaladores de software descifrado. WithSecure, sin embargo, dijo que la actividad no tiene conexión alguna con la campaña que rastrea bajo el nombre de Ducktail.
La última versión del malware, que resurgió el 6 de septiembre de 2022, luego de que el actor de amenazas se viera obligado a detener sus operaciones el 12 de agosto en respuesta a la divulgación pública, viene con una serie de mejoras incorporadas para eludir la detección.
Las cadenas de infección ahora comienzan con la entrega de archivos que contienen documentos de hojas de cálculo alojados en Apple iCloud y Discord a través de plataformas como LinkedIn y WhatsApp, lo que indica la diversificación de las tácticas de phishing de lanza del actor de amenazas.
La información de la cuenta empresarial de Facebook recopilada por el malware, que se firma mediante certificados digitales obtenidos bajo la apariencia de siete empresas inexistentes diferentes, se extrae mediante Telegram.
“Un cambio interesante que se observó con la última campaña es que [the Telegram command-and-control] los canales ahora incluyen varias cuentas de administrador, lo que indica que el adversario puede estar ejecutando un programa de afiliados”, explicó Nejad.
About the Author
