Los actores maliciosos asociados con el ecosistema de cibercrimen vietnamita están aprovechando la publicidad como vector en plataformas de redes sociales como Facebook, propiedad de Meta, para distribuir malware.
«Los actores de amenazas han utilizado durante mucho tiempo anuncios fraudulentos como vector para atacar a las víctimas con estafas, publicidad maliciosa y más», dijo el investigador de WithSecure Mohammad Kazem Hassan Nejad . «Y ahora que las empresas aprovechan el alcance de las redes sociales para hacer publicidad, los atacantes tienen un nuevo tipo de ataque altamente lucrativo para agregar a su arsenal: secuestrar cuentas comerciales».
Los ataques cibernéticos dirigidos a cuentas de Meta Business y Facebook han ganado popularidad durante el año pasado, cortesía de grupos de actividades como Ducktail y NodeStealer , conocidos por atacar empresas e individuos que operan en Facebook.
Entre los métodos empleados por los ciberdelincuentes para obtener acceso no autorizado a las cuentas de los usuarios, la ingeniería social desempeña un papel importante.
Se contacta a las víctimas a través de varias plataformas que van desde Facebook y LinkedIn hasta WhatsApp y portales de empleo independientes como Upwork. Otro mecanismo de distribución conocido es el uso de envenenamiento de motores de búsqueda para impulsar software falso como CapCut, Notepad++, OpenAI ChatGPT, Google Bard y Meta Threads.
Un elemento común a estos grupos es el abuso de los servicios de acortamiento de URL, Telegram para comando y control (C2) y servicios legítimos en la nube como Trello, Discord, Dropbox, iCloud, OneDrive y Mediafire para alojar las cargas maliciosas.
Los actores detrás de Ducktail, por ejemplo, aprovechan señuelos relacionados con proyectos de marca y marketing para infiltrarse en personas y empresas que operan en la plataforma Meta’s Business, con nuevas oleadas de ataques que emplean temas relacionados con el trabajo y el reclutamiento para activar la infección.
En estos ataques, los objetivos potenciales son dirigidos a publicaciones falsas en Upwork y Freelancer a través de anuncios de Facebook o InMail de LinkedIn, que, a su vez, contienen un enlace a un archivo de descripción de trabajo con trampa explosiva alojado en uno de los proveedores de almacenamiento en la nube antes mencionados, lo que en última instancia conduce a al despliegue del malware ladrón Ducktail.
«El malware Ducktail roba cookies de sesión guardadas de los navegadores, con un código diseñado específicamente para hacerse cargo de las cuentas comerciales de Facebook», señalaron los investigadores de Zscaler ThreatLabz, Sudeep Singh y Naveen Selvan , en un análisis paralelo, afirmando que las cuentas se venden entre 15 y 340 dólares.
«Los ‘productos’ de la operación (es decir, cuentas de redes sociales pirateadas) alimentan una economía clandestina de cuentas de redes sociales robadas, donde numerosos proveedores ofrecen cuentas con precios de acuerdo con su utilidad percibida para actividades maliciosas».
Algunas secuencias de infección observadas entre febrero y marzo de 2023 implicaron el uso de accesos directos y archivos PowerShell para descargar e iniciar el malware final, lo que ilustra la evolución continua de sus tácticas por parte de los atacantes.
La experimentación también se extiende al ladrón, que se ha actualizado para recopilar información personal de un usuario de X (anteriormente Twitter), TikTok Business y Google Ads, además de aprovechar las cookies de sesión de Facebook robadas para crear anuncios fraudulentos de forma automatizada y obtener privilegios elevados para realizar otras acciones.
Un método principal utilizado para apoderarse de la cuenta comprometida de una víctima es agregar su propia dirección de correo electrónico a esa cuenta y luego cambiar la contraseña y la dirección de correo electrónico de la cuenta de Facebook de la víctima para bloquearla del servicio.
«Otra característica nueva observada en las muestras de Ducktail desde (al menos) julio de 2023 es el uso de RestartManager (RM) para eliminar procesos que bloquean las bases de datos del navegador», dijo WithSecure. «Esta capacidad se encuentra a menudo en el ransomware, ya que los archivos que utilizan procesos o servicios no se pueden cifrar».
Es más, la carga útil final se oculta utilizando un cargador para descifrarla y ejecutarla dinámicamente en tiempo de ejecución en lo que se considera un intento de incorporar técnicas destinadas a aumentar la complejidad del análisis y la evasión de detección.
Algunos de los otros métodos adoptados por el actor de amenazas para obstaculizar el análisis incluyen el uso de nombres de ensamblaje generados de forma única y la dependencia de SmartAssembly, la hinchazón y la compresión para ofuscar el malware.
Zscaler dijo que detectó casos en los que el grupo inició contacto a través de cuentas de LinkedIn comprometidas que pertenecían a usuarios que trabajaban en el espacio del marketing digital, algunos de los cuales tenían más de 500 conexiones y 1.000 seguidores.
«La gran cantidad de conexiones/seguidores ayudó a dar autenticidad a las cuentas comprometidas y facilitó el proceso de ingeniería social para los actores de amenazas», dijeron los investigadores.
Esto también pone de relieve la propagación similar a un gusano de Ducktail, en la que las credenciales de LinkedIn y las cookies robadas de un usuario que fue víctima del ataque de malware se utilizan para iniciar sesión en sus cuentas y contactar con otros objetivos y ampliar su alcance.
Se dice que Ducktail es uno de los muchos actores de amenazas vietnamitas que están aprovechando herramientas y tácticas compartidas para llevar a cabo tales esquemas fraudulentos. Esto también incluye un imitador de Ducktail denominado Duckport, que ha estado activo desde finales de marzo de 2023 y realiza robo de información junto con el secuestro de cuentas Meta Business.
Vale la pena señalar que la campaña que Zscaler está rastreando como Ducktail es en realidad Duckport, que, según WithSecure, es una amenaza separada debido a las diferencias en los canales de Telegram utilizados para C2, la implementación del código fuente y el hecho de que ambos las cepas nunca se han distribuido juntas.
«Si bien Ducktail ha incursionado en el uso de sitios web de marcas falsas como parte de sus esfuerzos de ingeniería social, ha sido una técnica común para Duckport», dijo WithSecure.
«En lugar de proporcionar enlaces de descarga directa a servicios de alojamiento de archivos como Dropbox (que pueden generar sospechas), Duckport envía a las víctimas enlaces a sitios de marca relacionados con la marca/empresa que se están haciendo pasar, que luego los redirige para descargar el archivo malicioso. de servicios de alojamiento de archivos (como Dropbox)».
Duckport, aunque se basa en Ducktail, también viene con funciones novedosas que amplían las capacidades de robo de información y secuestro de cuentas, y también toma capturas de pantalla o abusa de los servicios de toma de notas en línea como parte de su cadena C2, reemplazando esencialmente a Telegram como canal para pasar comandos. a la máquina de la víctima.
«El elemento centrado en Vietnam de estas amenazas y el alto grado de superposiciones en términos de capacidades, infraestructura y victimología sugiere relaciones de trabajo activas entre varios actores de amenazas, herramientas compartidas y TTP entre estos grupos de amenazas, o un cibercriminal vietnamita fracturado y orientado a los servicios. ecosistema (similar al modelo de ransomware como servicio) centrado en plataformas de redes sociales como Facebook», dijo WithSecure.
Fuente y redacción: thehackernews.com
