Les opérateurs du voleur d’informations Ducktail ont démontré une « volonté implacable de persister » et ont continué à mettre à jour leurs logiciels malveillants dans le cadre d’une campagne financière en cours.
« Le logiciel malveillant est conçu pour voler les cookies du navigateur et profiter des sessions Facebook authentifiées pour voler des informations sur le compte Facebook de la victime », a déclaré Mohammad Kazem Hassan Nejad, chercheur chez WithSecure. a dit dans une nouvelle analyse.
« L’opération détourne finalement les comptes Facebook Business auxquels la victime a un accès suffisant. L’acteur de la menace utilise l’accès obtenu pour diffuser des publicités à des fins monétaires. »
Attribuée à un acteur menaçant vietnamien, la campagne Ducktail est conçue pour cibler les entreprises des secteurs du marketing et de la publicité numériques qui sont actives sur la plateforme Facebook Ads and Business.
Sont également ciblés les individus au sein d’entreprises potentielles susceptibles d’avoir un accès de haut niveau aux comptes Facebook Business. Cela comprend le personnel du marketing, des médias et des ressources humaines.
L’activité malveillante a été documentée pour la première fois par la société finlandaise de cybersécurité en juillet 2022. L’opération serait en cours depuis la seconde moitié de 2021, bien que des preuves indiquent que l’acteur de la menace était actif dès la fin de 2018.
Une analyse ultérieure par Zscaler ThreatLabz le mois dernier a révélé une version PHP du malware distribué en tant qu’installateurs pour les logiciels piratés. WithSecure, cependant, a déclaré que l’activité n’avait aucun lien avec la campagne qu’elle suit sous le surnom de Ducktail.
La dernière itération du logiciel malveillant, qui a refait surface le 6 septembre 2022, après que l’acteur menaçant a été contraint d’arrêter ses opérations le 12 août en réponse à une divulgation publique, s’accompagne d’une foule d’améliorations intégrées pour contourner la détection.
Les chaînes d’infection commencent désormais avec la livraison de fichiers d’archives contenant des feuilles de calcul hébergées sur Apple iCloud et Discord via des plateformes telles que LinkedIn et WhatsApp, indiquant la diversification des tactiques de harponnage de l’acteur menaçant.
Les informations du compte Facebook Business collectées par le logiciel malveillant, qui sont signées à l’aide de certificats numériques obtenus sous le couvert de sept entreprises inexistantes différentes, sont exfiltrées à l’aide de Telegram.
« Un changement intéressant qui a été observé avec la dernière campagne est que [the Telegram command-and-control] incluent désormais plusieurs comptes d’administrateur, ce qui indique que l’adversaire exécute peut-être un programme d’affiliation », a expliqué Nejad.