Selon The Hacker News , les cyberattaques ciblant les comptes Meta Business et Facebook sont devenues plus courantes au cours de l'année écoulée grâce aux logiciels malveillants Ducktail et NodeStealer, qui sont utilisés pour attaquer les entreprises et les particuliers actifs sur Facebook. Parmi les méthodes utilisées par les cybercriminels, l’ingénierie sociale joue un rôle important.

Les victimes sont contactées via diverses plateformes, de Facebook, LinkedIn à WhatsApp et aux portails d’emploi indépendants. Un autre mécanisme de distribution connu est l'empoisonnement des moteurs de recherche pour inciter les utilisateurs à télécharger de fausses versions de CapCut, Notepad++, ChatGPT, Google Bard et Meta Threads... Il s'agit de versions créées par des cybercriminels dans le but d'installer des logiciels malveillants sur l'ordinateur de la victime.

Il est courant que les groupes de cybercriminels utilisent des services de raccourcissement d’URL et Telegram pour le commandement et le contrôle, ainsi que des services cloud légitimes comme Trello, Discord, Dropbox, iCloud, OneDrive et Mediafire pour héberger des logiciels malveillants.

Les personnes derrière Ducktail attirent les victimes avec des stratagèmes de marketing et de marque pour compromettre les comptes des particuliers et des entreprises opérant sur la plateforme commerciale de Meta. Les cibles potentielles sont dirigées vers de fausses publications sur Upwork et Freelancer via des publicités Facebook ou LinkedIn InMail, qui contiennent des liens vers des fichiers malveillants déguisés en descriptions de poste.

Les chercheurs de Zscaler ThreatLabz affirment que Ducktail vole les cookies des navigateurs pour détourner les comptes professionnels Facebook. Le butin de cette opération (comptes de réseaux sociaux piratés) est injecté dans l’ économie souterraine, où il est évalué en fonction de son utilité, généralement entre 15 et 340 dollars.

Plusieurs chaînes d'infection observées entre février et mars 2023 impliquaient l'utilisation de raccourcis et de fichiers PowerShell pour télécharger et lancer des logiciels malveillants, démontrant une évolution continue des tactiques des attaquants.

Ces activités malveillantes ont également été mises à jour pour collecter les informations personnelles des utilisateurs de X (anciennement Twitter), TikTok Business et Google Ads, ainsi que pour exploiter les cookies Facebook volés pour générer des publicités frauduleuses de manière automatisée et élever les privilèges pour effectuer d'autres activités malveillantes.

La méthode utilisée pour prendre le contrôle du compte de la victime consiste à ajouter l'adresse e-mail du pirate au compte, puis à modifier le mot de passe et l'adresse e-mail de la victime pour la bloquer hors du service.

La société de sécurité WithSecure a déclaré qu'une nouvelle fonctionnalité observée dans les échantillons de Ducktail depuis juillet 2023 est l'utilisation de RestartManager (RM) pour tuer les processus qui verrouillent la base de données du navigateur. Cette fonctionnalité est souvent trouvée dans les ransomwares, car les fichiers utilisés par les processus ou les services ne peuvent pas être chiffrés.

Les chercheurs de Zscaler ont déclaré avoir découvert des infections provenant de comptes LinkedIn compromis appartenant à des utilisateurs travaillant dans le marketing numérique, certains avec plus de 500 connexions et 1 000 abonnés. Cela a contribué à faciliter le processus de fraude en matière de cybercriminalité.

Ducktail serait l’une des nombreuses souches de logiciels malveillants que les cybercriminels vietnamiens exploitent pour mener à bien des opérations frauduleuses. Il existe un clone de Ducktail appelé Duckport, qui commet des vols d'informations ainsi que des détournements de comptes Meta Business depuis fin mars 2023.

La stratégie des cybercriminels utilisant Duckport consiste à attirer les victimes vers des sites Web liés aux marques qu'ils usurpent, puis à les rediriger vers le téléchargement de fichiers malveillants à partir de services d'hébergement de fichiers comme Dropbox. Duckport dispose également de nouvelles fonctionnalités, élargissant sa capacité à voler des informations et à détourner des comptes, à prendre des captures d'écran ou à abuser des services de prise de notes en ligne pour remplacer Telegram afin de transmettre des commandes aux machines des victimes.

Les chercheurs affirment que les menaces au Vietnam présentent un degré élevé de chevauchement en termes de capacités, d’infrastructures et de victimes. Cela montre une relation positive entre les groupes criminels, les outils et tactiques partagés, les techniques... Il s'agit presque d'un écosystème similaire au modèle ransomware-as-a-service mais axé sur les plateformes de médias sociaux comme Facebook.