Según The Hacker News , los ciberataques dirigidos a cuentas de Meta Business y Facebook se han vuelto más comunes durante el último año gracias al malware Ducktail y NodeStealer, que se utilizan para atacar a empresas e individuos activos en Facebook. Entre los métodos utilizados por los ciberdelincuentes, la ingeniería social juega un papel importante.

Se contacta a las víctimas a través de una variedad de plataformas, desde Facebook, LinkedIn hasta WhatsApp y portales de trabajo independientes. Otro mecanismo de distribución conocido es el envenenamiento de motores de búsqueda para atraer a los usuarios a descargar versiones falsas de CapCut, Notepad++, ChatGPT, Google Bard y Meta Threads... Se trata de versiones creadas por ciberdelincuentes con el objetivo de instalar malware en el ordenador de la víctima.

Es común que los grupos cibercriminales utilicen servicios de acortamiento de URL y Telegram para comando y control, y servicios de nube legítimos como Trello, Discord, Dropbox, iCloud, OneDrive y Mediafire para alojar malware.

Las personas detrás de Ducktail atraen a las víctimas con esquemas de marketing y marca para comprometer las cuentas de personas y empresas que operan en la plataforma comercial de Meta. Los objetivos potenciales son dirigidos a publicaciones falsas en Upwork y Freelancer a través de anuncios InMail de Facebook o LinkedIn, que contienen enlaces a archivos maliciosos disfrazados de descripciones de trabajos.

Los investigadores de Zscaler ThreatLabz dicen que Ducktail roba cookies de los navegadores para secuestrar cuentas comerciales de Facebook. Los beneficios de esta operación (cuentas de redes sociales pirateadas) se incorporan a la economía sumergida, donde se les asigna un precio en función de su utilidad, que suele oscilar entre 15 y 340 dólares.

Varias cadenas de infección observadas entre febrero y marzo de 2023 implicaron el uso de accesos directos y archivos de PowerShell para descargar y ejecutar malware, lo que demuestra una evolución continua en las tácticas de los atacantes.

Estas actividades maliciosas también se actualizaron para recopilar información personal de los usuarios de X (anteriormente Twitter), TikTok Business y Google Ads, así como aprovechar las cookies robadas de Facebook para generar anuncios fraudulentos de manera automatizada y elevar privilegios para realizar otras actividades maliciosas.

El método utilizado para apoderarse de la cuenta de la víctima es agregar la dirección de correo electrónico del hacker a la cuenta y luego cambiar la contraseña y la dirección de correo electrónico de la víctima para bloquearla del servicio.

La empresa de seguridad WithSecure dijo que una nueva característica observada en las muestras de Ducktail desde julio de 2023 es el uso de RestartManager (RM) para matar procesos que bloquean la base de datos del navegador. Esta característica se encuentra a menudo en ransomware, ya que los archivos utilizados por procesos o servicios no se pueden cifrar.

Los investigadores de Zscaler dijeron que descubrieron infecciones en cuentas de LinkedIn comprometidas pertenecientes a usuarios que trabajan en marketing digital, algunas con más de 500 conexiones y 1.000 seguidores. Esto ha ayudado a facilitar el proceso de fraude cibernético.

Se dice que Ducktail es una de las muchas cepas de malware que los ciberdelincuentes vietnamitas están explotando para llevar a cabo planes fraudulentos. Existe un clon de Ducktail llamado Duckport, que ha estado llevando a cabo el robo de información junto con el secuestro de cuentas de Meta Business desde finales de marzo de 2023.

La estrategia de los cibercriminales que utilizan Duckport es atraer a las víctimas a sitios web relacionados con las marcas que suplantan y luego redirigirlas para que descarguen archivos maliciosos de servicios de alojamiento de archivos como Dropbox. Duckport también tiene nuevas características, ampliando su capacidad de robar información y secuestrar cuentas, tomar capturas de pantalla o abusar de los servicios de toma de notas en línea para reemplazar Telegram y transmitir comandos a las máquinas de las víctimas.

Los investigadores dicen que las amenazas en Vietnam tienen un alto grado de superposición en capacidades, infraestructura y víctimas. Esto muestra una relación positiva entre grupos criminales, herramientas y tácticas compartidas, técnicas... Es casi un ecosistema similar al modelo de ransomware como servicio pero centrado en plataformas de redes sociales como Facebook.