Un nuevo malware descubierto, vinculado a actores de amenazas vietnamitas, se dirige a los usuarios a través de una campaña de phishing en LinkedIn para robar datos y privilegios de administrador con fines económicos.
Un nuevo malware está secuestrando cuentas de alto perfil de la plataforma publicitaria Meta Facebook Business a través de una campaña de phishing que tiene como objetivo las cuentas de LinkedIn. El malware, apodado Ducktail, utiliza las cookies del navegador de las sesiones de los usuarios autentificados para apoderarse de las cuentas y robar datos, según los investigadores.
Los investigadores de WithSecure, anteriormente F-Secure, descubrieron la campaña en curso, que parece ser obra de actores de amenazas vietnamitas con fines económicos, según escribieron en un informe publicado el martes. La campaña en sí parece haber estado activa desde al menos la segunda mitad de 2021, mientras que los actores de la amenaza detrás de ella pueden haber estado en la escena cibercriminal desde 2018, dijeron los investigadores.
«El malware está diseñado para robar las cookies del navegador y aprovechar las sesiones autenticadas de Facebook para robar información de la cuenta de Facebook de la víctima y, en última instancia, secuestrar cualquier cuenta de Facebook Business a la que la víctima tenga suficiente acceso», escribieron los investigadores en una entrada de blog que acompaña al informe.
Los actores de Ducktail tienen objetivos muy específicos en mente, es decir, personas dentro de las empresas que operan en la plataforma de negocios y publicidad de Facebook que tienen acceso de alto nivel a la cuenta. Entre ellos se encuentran personas con funciones directivas, de marketing digital, de medios digitales y de recursos humanos en las empresas objetivo, dijeron los investigadores.
de marketing digital, medios digitales y recursos humanos en las empresas objetivo, según los investigadores.
«Estas tácticas aumentarían las posibilidades del adversario de comprometer la respectiva cuenta de Facebook Business mientras pasa desapercibida», escribieron los investigadores.
Para infiltrarse en las cuentas, los actores se dirigen a los usuarios de LinkedIn con una campaña de phishing que atrae a las víctimas utilizando palabras clave relacionadas con las marcas, los productos y la planificación de proyectos para que descarguen un archivo que contiene el ejecutable del malware junto con imágenes, documentos y archivos de vídeo relacionados, informaron los investigadores.
Componentes de malware
Los investigadores se adentraron en el novedoso malware, que en sus últimas muestras está escrito exclusivamente en .NET Core y se compila a través de su función de archivo único, algo «poco habitual en el malware», señalaron.
Ducktail opera utilizando seis componentes clave una vez que infecta un sistema. En primer lugar, realiza la creación y comprobación de Mutex para garantizar que sólo se ejecuta una única instancia del malware en un momento dado, dijeron los investigadores.
Un componente de almacenamiento de datos almacena y carga los datos robados en un archivo de texto en una carpeta temporal, mientras que una función de escaneo de navegadores escanea los navegadores instalados para identificar las rutas de las cookies para su posterior robo.
Ducktail también tiene dos componentes dedicados a robar información de las víctimas, uno que es más general, robando información no relacionada con Facebook, y otro que roba información específicamente relacionada con las cuentas de Facebook Business y de publicidad, así como secuestra esas cuentas, dijeron los investigadores.
El primer componente de robo de información general escanea una máquina infectada en busca de Google Chrome, Microsoft Edge, Brave Browser o Firefox y, para cada uno que encuentra, extrae todas las cookies almacenadas, incluyendo cualquier cookie de sesión de Facebook.
El componente de Ducktail dedicado a extraer datos de las cuentas de Facebook Business/Ads interactúa directamente con varios puntos finales de Facebook -ya sean páginas directas de Facebook o puntos finales de la API- desde la máquina de la víctima utilizando una cookie de sesión de Facebook robada, dijeron los investigadores. También utiliza otras credenciales de seguridad obtenidas de la cookie para extraer información de la cuenta de Facebook de la víctima.
La información específica que el malware roba de Facebook incluye: credenciales de seguridad, información de identificación de la cuenta personal, detalles de la empresa e información de la cuenta de publicidad.
Ducktail también permite a los actores de la amenaza tomar el control total de la administración de las cuentas de Facebook Business, lo que puede darles acceso a la tarjeta de crédito de un usuario o a otros datos transaccionales para obtener ganancias financieras, dijeron los investigadores.
Telegram C&C y otros trucos de evasión
Un último componente de Ducktail exfiltra los datos a un canal de Telegram utilizado como comando y control (C&C) de los actores de la amenaza, dijeron los investigadores. Esto permite al actor evadir la detección al limitar los comandos que envía desde el C&C a la máquina de la víctima, dijeron los investigadores.
Además, el malware no establece la persistencia en una máquina, lo que también permite que pueda entrar y hacer su trabajo sucio sin alertar al usuario o señalar la seguridad de Facebook, dijeron los investigadores. Sin embargo, las diferentes versiones de Ducktail observadas por los actores de la amenaza llevaron a cabo esta falta de persistencia de diversas maneras, dijeron.
«Las versiones más antiguas del malware simplemente se ejecutaban, hacían lo que estaban diseñadas para hacer y luego salían», escribieron los investigadores. «Las versiones más nuevas ejecutan un bucle infinito en segundo plano que realiza actividades de exfiltración periódicamente».
Ducktail también tiene características inherentes en el componente de robo de datos de Facebook que está diseñado para eludir las características de seguridad de Meta haciendo que cualquier solicitud de datos a las entidades de Facebook parezca provenir del navegador principal de la víctima. Esto haría que estas acciones parecieran benignas para la seguridad de Meta, dijeron los investigadores.Los atacantes también pueden utilizar información como las cookies de sesión robadas, los tokens de acceso, los códigos 2FA, los agentes de usuario, la dirección IP y la geolocalización, así como la información general de la cuenta, para camuflar y suplantar a la víctima, dijeron los investigadores.