Phishing: afecta a administradores de cuentas publicitarias de FacebooK

Está en marcha una nueva campaña de phishing con el nombre en código 'Ducktail', dirigida a los profesionales de LinkedIn para hacerse cargo de las cuentas comerciales de Facebook que administran la publicidad de la empresa.

Los operadores de Ducktail tienen un alcance de orientación limitado y seleccionan a sus víctimas con cuidado, tratando de encontrar personas que tengan privilegios de administrador en las cuentas de redes sociales de sus empleadores.

El descubrimiento de esta campaña proviene de investigadores de WithSecure, que han estado rastreando lo que creen que es un actor de amenazas vietnamita desde 2021 y recopilaron evidencia de actividad que se remonta a 2018.

Esto significa que Ducktail ha estado en marcha durante al menos un año y podría haber estado activo durante casi cuatro años.


Robo de cuentas de Facebook

El actor de amenazas se comunica con los empleados en LinkedIn que podrían tener acceso a la cuenta comercial de Facebook, por ejemplo, las personas que figuran como que trabajan en "medios digitales" y "marketing digital" como sus funciones.

Como parte de las conversaciones con un objetivo potencial, los actores de amenazas utilizan la ingeniería social y el engaño para convencerlos de que descarguen un archivo alojado en un servicio de alojamiento en la nube legítimo como Dropbox o iCloud.


El archivo descargado contiene archivos de imagen JPEG relevantes para la conversación entre el estafador y el empleado, pero también incluye un archivo ejecutable que parece un documento PDF.


Este archivo es en realidad un malware de .NET Core que contiene todas las dependencias requeridas, lo que le permite ejecutarse en cualquier computadora, incluso en aquellas que no tienen instalado el tiempo de ejecución de .NET.

Cuando se ejecuta, el malware busca cookies de navegador en Chrome, Edge, Brave y Firefox, recopila información del sistema y, finalmente, apunta a las credenciales de Facebook.

"El malware interactúa directamente con varios puntos finales de Facebook desde la máquina de la víctima utilizando la cookie de sesión de Facebook (y otras credenciales de seguridad que obtiene a través de la cookie de sesión inicial) para extraer información de la cuenta de Facebook de la víctima", explica WithSecure en el informe.

Las solicitudes a los terminales de Facebook parecen auténticas, ya que se originan en el navegador de la víctima mediante una cookie de sesión válida.

El malware rastrea varias páginas de Facebook para capturar múltiples tokens de acceso y los usa para una interacción sin obstáculos con el punto final en etapas posteriores.


La información robada incluye las cookies, la dirección IP, la información de la cuenta (nombre, correo electrónico, fecha de nacimiento, ID de usuario), los códigos 2FA y los datos de geolocalización, lo que esencialmente permite que el actor de amenazas continúe con este acceso desde su máquina.

Los detalles específicos de la empresa robados de la cuenta comprometida incluyen el estado de verificación, el límite de publicidad, la lista de usuarios, la lista de clientes, la identificación, la moneda, el ciclo de pago, el monto gastado y el DSL de adtrust (límite de gasto dinámico).

Los datos finalmente se filtran a través de los bots de Telegram y tienen lugar entre períodos establecidos, o cuando se roban las cuentas de Facebook, el proceso de malware finaliza o cuando el malware falla.


Secuestro de la cuenta de Facebook

El malware no solo roba información de las cuentas de Facebook de las víctimas, sino que también las secuestra agregando la dirección de correo electrónico del actor de amenazas a la cuenta comercial de Facebook comprometida. Al agregar al usuario, agregan permisos que permiten a los actores de amenazas acceso completo a la cuenta.


Luego, los actores de amenazas aprovechan sus nuevos privilegios para reemplazar los detalles financieros establecidos para que puedan dirigir los pagos a sus cuentas o ejecutar campañas publicitarias de Facebook con dinero de las empresas víctimas.

WithSecure cree que el motivo de los operadores de Ducktail es financiero, buscando ganancias fáciles en un entorno en el que llevaría algún tiempo descubrir el fraude y detenerlo.

En particular, vimos un enfoque de verificación de token de sesión y robo de cuenta automatizado igualmente sofisticado de un ladrón de información llamado FFDroider en abril de 2022.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta