Peligroso malware está secuestrando cuentas de Facebook por medio de phishing
Una operación cibercriminal identificada como Ducktail ha estado secuestrando cuentas de Facebook Business causando pérdidas de hasta $600,000 en créditos publicitarios.
La banda fue detectada anteriormente usando malware para robar información relacionada con Facebook y secuestrar cuentas comerciales asociadas para publicar sus propios anuncios que terminan siendo pagados por la víctima.
Objetivos de los atacantes
Ducktail, que se cree que es obra de un grupo de ciberdelincuentes con sede en Vietnam, se documentó por primera vez a principios de este año. La banda se dirigió a personas con acceso de alto nivel a la cuenta comercial de Facebook. Una cuenta comercial permite a las empresas llegar a una audiencia específica a través de campañas y anuncios pagados.
Los ciberdelincuentes envían el malware para robar información a través de LinkedIn, atrayendo al objetivo para que abra un archivo malicioso con un nombre relacionado con marcas, productos y planificación de productos, palabras clave típicas relevantes para la víctima.
Incidentes recientes analizados por investigadores de WithSecure (anteriormente F-Secure business) muestran que los operadores detrás de Ducktail adaptaron sus tácticas y malware para evitar la detección.
Los ciberdelincuentes contactaron a algunas de sus víctimas más recientes a través de WhatsApp. Esto para atraerlas a aceptar y ejecutar payloads que roban información confidencial o proporcionan acceso al atacante a la cuenta comercial de Facebook.
“Una de las características únicas del malware es su capacidad para secuestrar las cuentas de Facebook Business asociadas con la cuenta de Facebook de la víctima. El atacante intenta obtener acceso a los correos electrónicos de la cuenta comercial con los roles de mayor privilegio”.
Explicación de los investigadores en Julio.
“El malware está diseñado para robar cookies del navegador y aprovechar las sesiones autenticadas de Facebook para robar información de la cuenta de Facebook de la víctima”.
“En última instancia, la banda secuestra las cuentas comerciales de Facebook a las que la víctima tiene suficiente acceso. El actor de amenazas utiliza su acceso para publicar anuncios para obtener ganancias monetarias”.
Mohammad Kazem Hassan Nejad, investigador de WithSecure
Roles con mayor privilegio
Los investigadores también explicaron que una cuenta comercial de Facebook se puede asociar con varias direcciones de correo electrónico que se utilizan para acceder al panel de Business Manager con varios permisos. Por ejemplo, administrador, empleado, analista financiero y editor financiero.
Las personas con roles de administrador y editor financiero son los principales objetivos de Ducktail. Esto porque tienen control sobre la configuración, los permisos de las personas, las herramientas y los detalles financieros (información de tarjetas de crédito comerciales, transacciones, facturas y métodos de pago de cuentas).
Una vez lanzado en el sistema de la víctima, el malware Ducktail puede robar todas las cookies almacenadas (incluidas las cookies de sesión de Facebook) de Google Chrome, Microsoft Edge, Brave y Firefox.
Usando la cookie de sesión, interactúa con varios puntos finales de Facebook desde la máquina de la víctima y recopila más información. Por ejemplo, tokens de acceso, códigos de autenticación de dos factores, agentes de usuario, dirección IP, y geolocalización. Esto le permite a los ciberdelincuentes hacerse pasar por la víctima desde otros sistemas.
Evolución de la operación Ducktail
En la nueva campaña, los ciberdelincuentes cambiaron a una nueva variante de malware que usa la función de Native AOT .NET 7. .NET 7 permite compilar el binario sin el tiempo de ejecución de .NET instalado en la máquina de la víctima.
Otra diferencia es que las direcciones de correo electrónico del operador ya no están codificadas en binario, sino que se envían desde cuentas de bot de Telegram que actúan como servidores de comando y control (C2).
Telegram también se usó en la última campaña. No obstante, los canales incluían múltiples cuentas de administrador, lo que sugiere que los ciberdelincuentes pueden estar ejecutando un programa de afiliados.
Los investigadores también señalan que los datos exfiltrados ahora se cifran con el algoritmo AES-128 y la clave está protegida mediante cifrado asimétrico.
WithSecure notó múltiples muestras de malware enviadas desde Vietnam a VirusTotal entre el 5 y el 10 de octubre. Estas muestras se atribuyeron con gran confianza a la operación Ducktail.
Para dificultar la detección, los ciberdelincuentes firmaron sus binarios con certificados de validación extendida, una táctica que han estado utilizando desde mediados de 2021.
Los certificados se compraron a través de empresas registradas en Vietnam, ninguna de las cuales estaba operativa. Los investigadores de WithSecure identificaron siete de ellos, seis de los cuales vincularon a Ducktail con confianza media.
Según los compromisos de respuesta a incidentes, los investigadores dicen que Ducktail se centró en empresas de la industria de la publicidad. Estas empresas reportaron daños financieros directos de entre $100,000 y $600,000.
Ataques similares
Vale la pena señalar que la empresa de seguridad en la nube ZScaler publicó un informe a mediados de octubre sobre una campaña de phishing que también identificaron como Ducktail, que comparte similitudes con los hallazgos de WithSecure.
Sin embargo, WithSecure dijo que los indicadores técnicos y la inteligencia recopilada no revelan una superposición entre las dos operaciones.
“Hay diferentes actores de amenazas que operan en este espacio y la evaluación actual de WithSecure es que la campaña reciente descubierta por ZScaler no es una nueva variante o campaña realizada por o relacionada con la operación rastreada por WithSecure como DUCKTAIL”.
WithSecure
Según WithSecure, lo que las dos campañas tienen en común es solo el robo de información de la cuenta de Facebook de la víctima. Este robo se realiza mediante el uso de varias páginas de Facebook y puntos finales de API (por ejemplo, Graph).
