{"id":490664,"date":"2022-11-23T16:44:20","date_gmt":"2022-11-23T16:44:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-operacion-de-malware-ducktail-evoluciona-con-nuevas-capacidades-maliciosas\/"},"modified":"2022-11-23T16:44:22","modified_gmt":"2022-11-23T16:44:22","slug":"la-operacion-de-malware-ducktail-evoluciona-con-nuevas-capacidades-maliciosas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-operacion-de-malware-ducktail-evoluciona-con-nuevas-capacidades-maliciosas\/","title":{"rendered":"La operaci\u00f3n de malware Ducktail evoluciona con nuevas capacidades maliciosas"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los operadores del ladr\u00f3n de informaci\u00f3n Ducktail han demostrado una “voluntad implacable de persistir” y continuaron actualizando su malware como parte de una campa\u00f1a en curso impulsada financieramente.<\/p>\n

“El malware est\u00e1 dise\u00f1ado para robar cookies del navegador y aprovechar las sesiones autenticadas de Facebook para robar informaci\u00f3n de la cuenta de Facebook de la v\u00edctima”, dijo Mohammad Kazem Hassan Nejad, investigador de WithSecure. dijo<\/a> en un nuevo an\u00e1lisis.<\/p>\n

“En \u00faltima instancia, la operaci\u00f3n secuestra las cuentas comerciales de Facebook a las que la v\u00edctima tiene suficiente acceso. El actor de amenazas utiliza su acceso obtenido para publicar anuncios para obtener ganancias monetarias”.<\/p>\n

Atribuida a un actor de amenazas vietnamita, la campa\u00f1a Ducktail est\u00e1 dise\u00f1ada para apuntar a empresas en los sectores de publicidad y marketing digital que est\u00e1n activos en la plataforma Facebook Ads and Business.<\/p>\n

Tambi\u00e9n est\u00e1n dirigidos a personas dentro de posibles empresas que probablemente tengan acceso de alto nivel a las cuentas de Facebook Business. Esto incluye personal de marketing, medios y recursos humanos.<\/p>\n

La actividad maliciosa fue documentada por primera vez por la compa\u00f1\u00eda de ciberseguridad finlandesa en julio de 2022. Se cree que la operaci\u00f3n est\u00e1 en marcha desde la segunda mitad de 2021, aunque la evidencia apunta a que el actor de amenazas estuvo activo desde finales de 2018.<\/p>\n

\"Malware<\/div>\n

Un an\u00e1lisis posterior realizado por Zscaler ThreatLabz el mes pasado descubri\u00f3 una versi\u00f3n PHP del malware distribuido como instaladores de software descifrado. WithSecure, sin embargo, dijo que la actividad no tiene conexi\u00f3n alguna con la campa\u00f1a que rastrea bajo el nombre de Ducktail.<\/p>\n

La \u00faltima versi\u00f3n del malware, que resurgi\u00f3 el 6 de septiembre de 2022, luego de que el actor de amenazas se viera obligado a detener sus operaciones el 12 de agosto en respuesta a la divulgaci\u00f3n p\u00fablica, viene con una serie de mejoras incorporadas para eludir la detecci\u00f3n.<\/p>\n

Las cadenas de infecci\u00f3n ahora comienzan con la entrega de archivos que contienen documentos de hojas de c\u00e1lculo alojados en Apple iCloud y Discord a trav\u00e9s de plataformas como LinkedIn y WhatsApp, lo que indica la diversificaci\u00f3n de las t\u00e1cticas de phishing de lanza del actor de amenazas.<\/p>\n

La informaci\u00f3n de la cuenta empresarial de Facebook recopilada por el malware, que se firma mediante certificados digitales obtenidos bajo la apariencia de siete empresas inexistentes diferentes, se extrae mediante Telegram.<\/p>\n

“Un cambio interesante que se observ\u00f3 con la \u00faltima campa\u00f1a es que [the Telegram command-and-control] los canales ahora incluyen varias cuentas de administrador, lo que indica que el adversario puede estar ejecutando un programa de afiliados”, explic\u00f3 Nejad.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Los operadores del ladr\u00f3n de informaci\u00f3n Ducktail han demostrado una “voluntad implacable de persistir” y continuaron actualizando su<\/p>\n","protected":false},"author":1,"featured_media":490665,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,28629,4664,99,94344,48389,4662,4668,4667,7355,4669,4654,4658,4659,4653,4655,2498,1596,4663,4666,4665,4660],"class_list":["post-490664","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-capacidades","tag-como-hackear","tag-con","tag-ducktail","tag-evoluciona","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-maliciosas","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-operacion","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/490664","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=490664"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/490664\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/490665"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=490664"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=490664"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=490664"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}