Según The Hacker News , los ciberataques dirigidos a cuentas de Meta Business y Facebook se han vuelto más comunes durante el último año gracias al malware Ducktail y NodeStealer, que se utilizan para atacar a empresas y personas activas en Facebook. Entre los métodos utilizados por los ciberdelincuentes, la ingeniería social desempeña un papel fundamental.
Se contacta a las víctimas a través de diversas plataformas, desde Facebook y LinkedIn hasta WhatsApp y portales de empleo para freelancers. Otro mecanismo de distribución conocido es el envenenamiento de motores de búsqueda para inducir a los usuarios a descargar versiones falsas de CapCut, Notepad++, ChatGPT, Google Bard y Meta Threads, entre otras, creadas por ciberdelincuentes para implantar malware en los equipos de las víctimas.
Es común que los grupos cibercriminales utilicen servicios de acortamiento de URL y Telegram para comando y control, y servicios de nube legítimos como Trello, Discord, Dropbox, iCloud, OneDrive y Mediafire para alojar malware.
Los responsables de Ducktail atraen a sus víctimas con proyectos de marketing y branding para comprometer las cuentas de particulares y empresas que operan en la plataforma Meta. A los posibles objetivos se les dirige a publicaciones falsas en Upwork y Freelancer mediante anuncios InMail de Facebook o LinkedIn que contienen enlaces a archivos maliciosos camuflados en descripciones de empleo.
Los investigadores de Zscaler ThreatLabz afirman que Ducktail roba cookies de los navegadores para secuestrar cuentas empresariales de Facebook. El botín de esta operación (cuentas de redes sociales pirateadas) se vende a la economía sumergida, donde se les asigna un precio según su utilidad, que suele oscilar entre 15 y 340 dólares.
Varias cadenas de infección observadas entre febrero y marzo de 2023 implicaron el uso de accesos directos y archivos de PowerShell para descargar y ejecutar malware, lo que demuestra una evolución continua en las tácticas de los atacantes.
Estas actividades maliciosas también se actualizaron para recopilar información personal de los usuarios de X (anteriormente Twitter), TikTok Business y Google Ads, así como aprovechar las cookies robadas de Facebook para generar anuncios fraudulentos de manera automatizada y elevar privilegios para realizar otras actividades maliciosas.
El método utilizado para apoderarse de la cuenta de la víctima es agregar la dirección de correo electrónico del hacker a la cuenta y luego cambiar la contraseña y la dirección de correo electrónico de la víctima para bloquearla del servicio.
La firma de seguridad WithSecure indicó que una nueva característica observada en las muestras de Ducktail desde julio de 2023 es el uso de RestartManager (RM) para eliminar los procesos que bloquean la base de datos del navegador. Esta característica se encuentra a menudo en ransomware, ya que los archivos utilizados por los procesos o servicios no se pueden cifrar.
Algunos anuncios falsos están diseñados para engañar a las víctimas para que descarguen y ejecuten malware en sus computadoras.
Los investigadores de Zscaler dijeron que encontraron infecciones en cuentas de LinkedIn comprometidas pertenecientes a usuarios que trabajan en marketing digital, algunas con más de 500 conexiones y 1.000 seguidores, lo que ayudó a facilitar las estafas de los ciberdelincuentes.
Se cree que Ducktail es una de las muchas cepas de malware que los ciberdelincuentes vietnamitas están explotando para llevar a cabo estrategias fraudulentas. Existe un clon de Ducktail llamado Duckport, que ha estado robando información y secuestrando cuentas de Meta Business desde finales de marzo de 2023.
La estrategia del grupo cibercriminal que utiliza Duckport consiste en atraer a las víctimas a sitios web relacionados con la marca que suplantan y luego redirigirlas a la descarga de archivos maliciosos desde servicios de alojamiento como Dropbox. Duckport también incorpora nuevas funciones que amplían su capacidad para robar información, secuestrar cuentas, tomar capturas de pantalla o abusar de servicios de toma de notas en línea para reemplazar Telegram y enviar comandos al equipo de la víctima.
Los investigadores afirman que las amenazas en Vietnam presentan un alto grado de superposición en cuanto a capacidades, infraestructura y víctimas. Esto demuestra una relación positiva entre grupos criminales, herramientas compartidas, tácticas, técnicas, etc. Se trata de un ecosistema similar al modelo de ransomware como servicio, pero centrado en plataformas de redes sociales como Facebook.
[anuncio_2]
Enlace de origen
![[Foto] El presidente de la Asamblea Nacional asiste al seminario "Construcción y operación de un centro financiero internacional y recomendaciones para Vietnam".](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/7/28/76393436936e457db31ec84433289f72)
Kommentar (0)