Investigadores de seguridad descubrieron una nueva -y particular- campaña, la cual se dirige a usuarios de una determinada red social para acceder a otra. Llamada Ducktail, la operación en curso se ha atribuido a un actor de amenazas con motivación financiera con sede en Vietnam activo desde 2018. La campaña consiste en que los actores […]
Investigadores de seguridad descubrieron una nueva -y particular- campaña, la cual se dirige a usuarios de una determinada red social para acceder a otra.
Llamada Ducktail, la operación en curso se ha atribuido a un actor de amenazas con motivación financiera con sede en Vietnam activo desde 2018.
La campaña consiste en que los actores maliciosos se ponen en contacto con profesionales en LinkedIn, los cuales podrían tener acceso a cuentas comerciales de Facebook. Por lo general se dirigen a cargos como “medios digitales”, “marketing digital”, ”Jefe de contenidos”, o cargos altos que puedan tener acceso a la plataforma Business de Meta.
Una vez identificado el objetivo, comienzan las conversaciones, las cuales se nutren de ingeniería social y engaño para así convencerlo de descargar un archivo disponible en la nube (de alojamiento legítimo como Dropbox, Wetransfer, iCloud, etc).
Una vez descargado el archivo (malware Ducktail), este busca las cookies de navegador en Edge, Firefox, Chrome y Brave; recopila información del sistema y apunta a las credenciales de Facebook.
En última instancia, el malware se ejecuta a través de varias páginas de Facebook para recopilar tokens de acceso y así usarlos para una interacción sin obstáculos con el punto final.
El malware no solo sustrae información de las cuentas de Facebook, sino que las secuestra agregando la dirección de correo electrónico del ciberdelincuente a la cuenta comercial de Facebook comprometida.
Al agregar al usuario, el malware pone permisos que permiten al actor malicioso tomar el control total de la cuenta. Los actores de amenazas aprovechan estos privilegios para reemplazar los detalles financieros.
Artículos relacionados
Extensión para navegadores roba contenido de correos electrónicos
3 de agosto de 2022Un grupo de amenazas está distribuyendo activamente extensiones maliciosas para navegadores como Chrome y Edge. El objetivo es robar contenido de correos electrónicos con sesiones abiertas de Gmail y AOL, además reemplazar los archivos de preferencias del navegador.
