Facebook Business el nuevo objetivo de un malware recientemente descubierto. Una operación cibercriminal en curso está dirigida a profesionales del marketing digital y de los recursos humanos en un esfuerzo por secuestrar cuentas del administrador de anuncios de Facebook.
Por su parte, investigadores de WithSecure, la empresa derivada del gigante de la seguridad F-Secure, descubrieron la campaña en curso que denominaron Ducktail y encontraron pruebas que sugieren que un actor de amenazas vietnamita ha estado desarrollando y distribuyendo el malware desde mediados de 2021. La empresa añadió que los motivos de las operaciones parecen ser puramente financieros.
El actor de la amenaza primero explora los objetivos a través de LinkedIn, donde selecciona a los empleados que probablemente tengan acceso de alto nivel a las cuentas de Facebook Business, en particular aquellos con el nivel más alto de acceso.
"Creemos que los operadores de Ducktail seleccionan cuidadosamente un número reducido de objetivos para aumentar sus posibilidades de éxito y pasar desapercibidos", afirma Mohammad Kazem Hassan Nejad, investigador y analista de malware de WithSecure Intelligence. "Hemos observado que individuos con funciones directivas, de marketing digital, de medios digitales y de recursos humanos en las empresas han sido el objetivo".
¿Cómo es el proceso de ataque?
Lo primero que hace el cibercriminal es definir el objetivo y cuando este paso está listo, el actor utiliza la ingeniería social para convencer a la persona de que descargue un archivo alojado en un host legítimo en la nube, como Dropbox o iCloud. Aunque el archivo presenta palabras clave relacionadas con marcas, productos y planificación de proyectos en un intento de parecer legítimo, contiene un malware de robo de datos que, según WithSecure, es el primer malware que han visto específicamente diseñado para secuestrar cuentas de Facebook Business.
Una vez instalado en el sistema de la víctima, Ducktail roba las cookies del navegador y secuestra las sesiones autentificadas de Facebook para robar información de la cuenta de Facebook de la víctima, incluyendo información de la cuenta, datos de localización y códigos de autenticación de dos factores. El malware también permite al actor de la amenaza secuestrar cualquier cuenta de Facebook Business a la que la víctima tenga suficiente acceso simplemente añadiendo su dirección de correo electrónico a la cuenta comprometida, lo que hace que Facebook envíe un enlace, por correo electrónico, a la misma dirección de correo.
"El destinatario (en este caso, el actor de la amenaza) interactúa entonces con el enlace enviado por correo electrónico para obtener acceso a esa empresa de Facebook. Este mecanismo representa el proceso estándar utilizado para conceder a los individuos el acceso a un negocio de Facebook y por lo tanto elude las características de seguridad implementadas por Meta para proteger contra tal abuso", indica Nejad.
Los actores de la amenaza aprovechan entonces sus nuevos privilegios para reemplazar los detalles financieros establecidos de la cuenta con el fin de dirigir los pagos a sus cuentas o para ejecutar campañas de anuncios de Facebook utilizando el dinero de las empresas víctimas.
La compañía de seguridad compartió su investigación con Meta y dijo que era "incapaz de determinar el éxito o la falta de él". La campaña Ducktail y no podía decir cuántos usuarios han sido potencialmente afectados, pero señaló que no ha visto un patrón regional en la orientación de Ducktail, con víctimas potenciales repartidas por Europa, Oriente Medio, África y América del Norte.