{"id":935149,"date":"2023-09-04T09:21:48","date_gmt":"2023-09-04T09:21:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/ciberdelincuentes-vietnamitas-atacan-cuentas-comerciales-de-facebook-con-publicidad-maliciosa\/"},"modified":"2023-09-04T09:21:52","modified_gmt":"2023-09-04T09:21:52","slug":"ciberdelincuentes-vietnamitas-atacan-cuentas-comerciales-de-facebook-con-publicidad-maliciosa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ciberdelincuentes-vietnamitas-atacan-cuentas-comerciales-de-facebook-con-publicidad-maliciosa\/","title":{"rendered":"Ciberdelincuentes vietnamitas atacan cuentas comerciales de Facebook con publicidad maliciosa"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los actores maliciosos asociados con el ecosistema de cibercrimen vietnamita est\u00e1n aprovechando la publicidad como vector en plataformas de redes sociales como Facebook, propiedad de Meta, para distribuir malware.<\/p>\n

“Los actores de amenazas han utilizado durante mucho tiempo anuncios fraudulentos como vector para atacar a las v\u00edctimas con estafas, publicidad maliciosa y m\u00e1s”, dijo el investigador de WithSecure Mohammad Kazem Hassan Nejad. dicho<\/a>. “Y ahora que las empresas aprovechan el alcance de las redes sociales para hacer publicidad, los atacantes tienen un nuevo tipo de ataque altamente lucrativo para agregar a su arsenal: secuestrar cuentas comerciales”.<\/p>\n

Los ataques cibern\u00e9ticos dirigidos a cuentas de Meta Business y Facebook han ganado popularidad durante el a\u00f1o pasado, cortes\u00eda de grupos de actividades como Ducktail y NodeStealer, conocidos por atacar empresas e individuos que operan en Facebook.<\/p>\n

Entre los m\u00e9todos empleados por los ciberdelincuentes para obtener acceso no autorizado a las cuentas de los usuarios, la ingenier\u00eda social desempe\u00f1a un papel importante.<\/p>\n

Se contacta a las v\u00edctimas a trav\u00e9s de varias plataformas que van desde Facebook y LinkedIn hasta WhatsApp y portales de empleo independientes como Upwork. Otro mecanismo de distribuci\u00f3n conocido es el uso de envenenamiento de motores de b\u00fasqueda para impulsar software falso como CapCut, Notepad++, OpenAI ChatGPT, Google Bard y Meta Threads.<\/p>\n

Un elemento com\u00fan a estos grupos es el abuso de los servicios de acortamiento de URL, Telegram para comando y control (C2) y servicios leg\u00edtimos en la nube como Trello, Discord, Dropbox, iCloud, OneDrive y Mediafire para alojar las cargas maliciosas.<\/p>\n

\"La<\/a><\/center><\/section>\n

Los actores detr\u00e1s de Ducktail, por ejemplo, aprovechan se\u00f1uelos relacionados con proyectos de marca y marketing para infiltrarse en personas y empresas que operan en la plataforma Meta’s Business, con nuevas oleadas de ataques que emplean temas relacionados con el trabajo y el reclutamiento para activar la infecci\u00f3n.<\/p>\n

En estos ataques, los objetivos potenciales son dirigidos a publicaciones falsas en Upwork y Freelancer a trav\u00e9s de anuncios de Facebook o InMail de LinkedIn, que, a su vez, contienen un enlace a un archivo de descripci\u00f3n de trabajo con trampa explosiva alojado en uno de los proveedores de almacenamiento en la nube antes mencionados, lo que en \u00faltima instancia conduce a al despliegue del malware ladr\u00f3n Ducktail.<\/p>\n

“El malware Ducktail roba las cookies de sesi\u00f3n guardadas de los navegadores, con un c\u00f3digo dise\u00f1ado espec\u00edficamente para hacerse cargo de las cuentas comerciales de Facebook”, afirman los investigadores de Zscaler ThreatLabz, Sudeep Singh y Naveen Selvan. anotado<\/a> en un an\u00e1lisis paralelo, se indica que las cuentas se venden entre $15 y $340.<\/p>\n

“Los ‘productos’ de la operaci\u00f3n (es decir, cuentas de redes sociales pirateadas) alimentan una econom\u00eda clandestina de cuentas de redes sociales robadas, donde numerosos proveedores ofrecen cuentas con precios de acuerdo con su utilidad percibida para actividades maliciosas”.<\/p>\n

Algunas secuencias de infecci\u00f3n observadas entre febrero y marzo de 2023 implicaron el uso de accesos directos y archivos PowerShell para descargar e iniciar el malware final, lo que ilustra la evoluci\u00f3n continua de sus t\u00e1cticas por parte de los atacantes.<\/p>\n

La experimentaci\u00f3n tambi\u00e9n se extiende al ladr\u00f3n, que se ha actualizado para recopilar informaci\u00f3n personal de un usuario de X (anteriormente Twitter), TikTok Business y Google Ads, adem\u00e1s de aprovechar las cookies de sesi\u00f3n de Facebook robadas para crear anuncios fraudulentos de forma automatizada y obtener privilegios elevados para realizar otras acciones.<\/p>\n

\"Publicidad<\/div>\n

Un m\u00e9todo principal utilizado para apoderarse de la cuenta comprometida de una v\u00edctima es agregar su propia direcci\u00f3n de correo electr\u00f3nico a esa cuenta y luego cambiar la contrase\u00f1a y la direcci\u00f3n de correo electr\u00f3nico de la cuenta de Facebook de la v\u00edctima para bloquearla del servicio.<\/p>\n

“Otra caracter\u00edstica nueva observada en las muestras de Ducktail desde (al menos) julio de 2023 es el uso de RestartManager (RM) para eliminar procesos que bloquean las bases de datos del navegador”, dijo WithSecure. “Esta capacidad se encuentra a menudo en el ransomware, ya que los archivos que utilizan procesos o servicios no se pueden cifrar”.<\/p>\n

Es m\u00e1s, la carga \u00fatil final se oculta utilizando un cargador para descifrarla y ejecutarla din\u00e1micamente en tiempo de ejecuci\u00f3n en lo que se considera un intento de incorporar t\u00e9cnicas destinadas a aumentar la complejidad del an\u00e1lisis y la evasi\u00f3n de detecci\u00f3n.<\/p>\n

Algunos de los otros m\u00e9todos adoptados por el actor de amenazas para obstaculizar el an\u00e1lisis incluyen el uso de nombres de ensamblaje generados de forma \u00fanica y la dependencia de SmartAssembly, la hinchaz\u00f3n y la compresi\u00f3n para ofuscar el malware.<\/p>\n

Zscaler dijo que detect\u00f3 casos en los que el grupo inici\u00f3 contacto a trav\u00e9s de cuentas de LinkedIn comprometidas que pertenec\u00edan a usuarios que trabajaban en el espacio del marketing digital, algunos de los cuales ten\u00edan m\u00e1s de 500 conexiones y 1.000 seguidores.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa<\/p>\n

<\/a><\/p>\n

Descubra c\u00f3mo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda c\u00f3mo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso despu\u00e9s de una vulneraci\u00f3n. <\/p>\n

Potencia tus habilidades<\/a><\/section>\n

“La gran cantidad de conexiones\/seguidores ayud\u00f3 a dar autenticidad a las cuentas comprometidas y facilit\u00f3 el proceso de ingenier\u00eda social para los actores de amenazas”, dijeron los investigadores.<\/p>\n

Esto tambi\u00e9n pone de relieve la propagaci\u00f3n similar a un gusano de Ducktail, en la que las credenciales de LinkedIn y las cookies robadas de un usuario que fue v\u00edctima del ataque de malware se utilizan para iniciar sesi\u00f3n en sus cuentas y contactar con otros objetivos y ampliar su alcance.<\/p>\n

Se dice que Ducktail es uno de los muchos actores de amenazas vietnamitas que est\u00e1n aprovechando herramientas y t\u00e1cticas compartidas para llevar a cabo tales esquemas fraudulentos. Esto tambi\u00e9n incluye un imitador de Ducktail denominado Duckport, que ha estado activo desde finales de marzo de 2023 y realiza robo de informaci\u00f3n junto con el secuestro de cuentas Meta Business.<\/p>\n

Vale la pena se\u00f1alar que la campa\u00f1a que Zscaler est\u00e1 rastreando como Ducktail es en realidad Duckport, que, seg\u00fan WithSecure, es una amenaza separada debido a las diferencias en los canales de Telegram utilizados para C2, la implementaci\u00f3n del c\u00f3digo fuente y el hecho de que ambos las cepas nunca se han distribuido juntas.<\/p>\n

“Si bien Ducktail ha incursionado en el uso de sitios web de marcas falsas como parte de sus esfuerzos de ingenier\u00eda social, ha sido una t\u00e9cnica com\u00fan para Duckport”, dijo WithSecure.<\/p>\n

“En lugar de proporcionar enlaces de descarga directa a servicios de alojamiento de archivos como Dropbox (que pueden generar sospechas), Duckport env\u00eda a las v\u00edctimas enlaces a sitios de marca relacionados con la marca\/empresa que se est\u00e1n haciendo pasar, que luego los redirige para descargar el archivo malicioso. de servicios de alojamiento de archivos (como Dropbox)”.<\/p>\n

Duckport, aunque se basa en Ducktail, tambi\u00e9n viene con funciones novedosas que ampl\u00edan las capacidades de robo de informaci\u00f3n y secuestro de cuentas, y tambi\u00e9n toma capturas de pantalla o abusa de los servicios de toma de notas en l\u00ednea como parte de su cadena C2, reemplazando esencialmente a Telegram como canal para pasar comandos. a la m\u00e1quina de la v\u00edctima.<\/p>\n

“El elemento centrado en Vietnam de estas amenazas y el alto grado de superposiciones en t\u00e9rminos de capacidades, infraestructura y victimolog\u00eda sugiere relaciones de trabajo activas entre varios actores de amenazas, herramientas compartidas y TTP entre estos grupos de amenazas, o un cibercriminal vietnamita fracturado y orientado a los servicios. ecosistema (similar al modelo de ransomware como servicio) centrado en plataformas de redes sociales como Facebook”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n