Una campaña de spear-phishing conocida como "Ducktail" está dando vueltas en LinkedIn al dirigirse a personas que administran cuentas comerciales de Facebook. Se está utilizando un ladrón de información en el proceso para acceder a la información.
Individuos específicos están siendo atacados por el actor malicioso
en la cola de pato suplantación de identidad campaña, los atacantes se dirigen únicamente a personas que administran cuentas de Facebook Business, y por lo tanto, se han otorgado ciertos permisos a las herramientas de publicidad y marketing de una empresa en Facebook. Aquellos que se muestran en LinkedIn para tener roles en marketing digital, marketing en redes sociales, publicidad digital o similar, son objetivos principales para este atacante.
Empresa de ciberseguridad WithSecure informado en una publicación reciente que el malware Ducktail es el primero de su tipo y se cree que está controlado por un operador vietnamita.
No se sabe exactamente cuánto tiempo lleva esta campaña, pero se ha confirmado que está activa durante al menos un año. Sin embargo, Ducktail puede haber sido creado y utilizado por primera vez hace cuatro años al momento de escribir este artículo.
Si bien las cuentas de LinkedIn no están dirigidas directamente en esta campaña, la plataforma se utiliza como un vehículo para acceder a los objetivos. El actor malicioso busca usuarios con roles que sugieran que tienen acceso de alto nivel a las herramientas publicitarias de su empleador, incluida su cuenta de Facebook Business.
Luego, el atacante utilizará la ingeniería social para persuadir a la víctima de que descargue un archivo que contiene un ejecutable de malware. así como algunas imágenes y archivos adicionales, todos alojados por una variedad de proveedores de almacenamiento en la nube, como Dropbox y iCloud. El malware Ducktail está escrito en .NET Core, un marco de software de código abierto. Esto significa que el malware infostealer puede ejecutarse en casi cualquier dispositivo, independientemente del sistema operativo que utilice.
Luego, el malware Ducktail puede buscar cookies del navegador para encontrar la información de inicio de sesión necesaria para acceder a una cuenta comercial de Facebook. secuestrando la cookie de sesión. Al hackear una cuenta de Facebook Business se puede robar información sensible de la empresa, sus clientes y dinámicas publicitarias.
La ganancia financiera es el objetivo probable en la campaña Ducktail
WithSecure ha declarado en su publicación sobre cola de pato que las acciones de la parte maliciosa son probablemente "impulsadas financieramente". Cuando el atacante obtiene el control total de la cuenta comercial de Facebook objetivo, puede editar la tarjeta de crédito e información transaccional, y utilizan los métodos de pago de la empresa para ejecutar su propia publicidad campañas Esto puede ser perjudicial desde el punto de vista financiero para la empresa, pero puede tardar un tiempo en darse cuenta, lo que le da al malintencionado más tiempo para explotar a la víctima.
Ducktail puede acumular muchas víctimas en el futuro cercano
Debido a que Ducktail es un tipo de malware único en su tipo y se dirige a un área que muchas personas no pensarían en verificar, podría usarse para explotar con éxito una larga lista de víctimas a lo largo del tiempo. Aunque no se sabe si el atacante se ha infiltrado con éxito en alguna cuenta comercial de Facebook, la amenaza aún persiste.
