Una operación ciberdelincuente en curso está dirigida a profesionales de marketing digital y recursos humanos en un esfuerzo por secuestrar las cuentas de Facebook Business utilizando un malware de robo de datos recientemente descubierto.
Los investigadores de WithSecure, la empresa derivada del gigante de la seguridad F-Secure, descubrió la campaña en curso lo llamaron Ducktail y encontraron evidencia que sugiere que un actor de amenazas vietnamita ha estado desarrollando y distribuyendo el malware desde la segunda mitad de 2021. La firma agregó que los motivos de las operaciones parecen ser puramente económicos.
El actor de amenazas primero explora los objetivos a través de LinkedIn, donde selecciona a los empleados que probablemente tengan un acceso de alto nivel a las cuentas de Facebook Business, en particular aquellos con el nivel más alto de acceso.
“Creemos que los operadores de Ducktail seleccionan cuidadosamente una pequeña cantidad de objetivos para aumentar sus posibilidades de éxito y pasar desapercibidos”, dijo Mohammad Kazem Hassan Nejad, investigador y analista de malware de WithSecure Intelligence. “Hemos observado que personas con funciones gerenciales, de marketing digital, de medios digitales y de recursos humanos en empresas han sido atacadas”.
Luego, el actor de amenazas utiliza la ingeniería social para convencer al objetivo de que descargue un archivo alojado en un servidor de nube legítimo, como Dropbox o iCloud. Si bien el archivo presenta palabras clave relacionadas con marcas, productos y planificación de proyectos en un intento de parecer legítimo, contiene malware para robar datos que, según WithSecure, es el primer malware que han visto diseñado específicamente para secuestrar cuentas comerciales de Facebook.
Una vez instalado en el sistema de la víctima, el malware Ducktail roba las cookies del navegador y secuestra las sesiones autenticadas de Facebook para robar información de la cuenta de Facebook de la víctima, incluida la información de la cuenta, los datos de ubicación y los códigos de autenticación de dos factores. El malware también permite que el actor de amenazas secuestre cualquier cuenta comercial de Facebook a la que la víctima tenga suficiente acceso simplemente agregando su dirección de correo electrónico a la cuenta comprometida, lo que hace que Facebook envíe un enlace, por correo electrónico, a la misma dirección de correo electrónico.
“El destinatario, en este caso, el actor de amenazas, interactúa con el enlace enviado por correo electrónico para obtener acceso a ese negocio de Facebook. Este mecanismo representa el proceso estándar utilizado para otorgar a las personas acceso a una empresa de Facebook y, por lo tanto, elude las funciones de seguridad implementadas por Meta para proteger contra dicho abuso”, dice Nejad.
Luego, los actores de amenazas aprovechan sus nuevos privilegios para reemplazar los detalles financieros establecidos de la cuenta para dirigir los pagos a sus cuentas o ejecutar campañas de anuncios de Facebook con dinero de las empresas víctimas.
WithSecure, que compartió su investigación con Meta, dijo que “no pudo determinar el éxito o la falta de él” de la campaña Ducktail y no pudo decir cuántos usuarios se vieron potencialmente afectados, pero señaló que no ha visto un patrón regional. en el objetivo de Ducktail, con víctimas potenciales repartidas por Europa, Oriente Medio, África y América del Norte.
Un portavoz de Meta le dijo a TechCrunch en un comunicado: “Damos la bienvenida a la investigación de seguridad sobre las amenazas que apuntan a nuestra industria. Este es un espacio altamente conflictivo y sabemos que estos grupos maliciosos seguirán tratando de evadir nuestra detección. Somos conscientes de estos estafadores en particular, actuamos regularmente contra ellos y continuamos actualizando nuestros sistemas para detectar estos intentos. Debido a que este malware generalmente se descarga fuera de la plataforma, alentamos a las personas a tener cuidado con el software que instalan en sus dispositivos”.
Source link