Un grupo de atacantes, probablemente con sede en que se especializa en apuntar a empleados con acceso potencial a cuentas comerciales y de administración de anuncios de ha resurgido con cambios en su infraestructura, y modus operandi después de haber sido descubierto inicialmente hace unos meses.
Apodado DUCKTAIL por los investigadores de WithSecure, el grupo utiliza el phishing selectivo para dirigirse a personas en LinkedIn que tienen descripciones de trabajo que podrían sugerir que tienen acceso para administrar cuentas comerciales de Facebook.
Más recientemente, también se observó que los atacantes atacaban a las víctimas a través de WhatsApp.
Las cuentas comerciales de Facebook comprometidas se utilizan para publicar anuncios en la plataforma para obtener ganancias financieras de los atacantes.
El abuso de la cuenta se logra utilizando el navegador de la víctima a través de un programa de malware entregado bajo la apariencia de documentos relacionados con marcas, productos y planificación de proyectos.
Los atacantes primero construyen una lista de empresas que tienen páginas comerciales en Facebook.
Luego buscan empleados en y otras fuentes que trabajen para esas empresas y tengan títulos de trabajo que podrían brindarles acceso a esas páginas comerciales.
Estos incluyen funciones gerenciales, de marketing digital, de medios digitales y de recursos humanos.
El paso final es enviarles un enlace con un archivo que contiene el malware disfrazado de .
pdf, junto con imágenes y videos que parecen ser parte del mismo proyecto.
Algunos de los nombres de archivo vistos por los investigadores incluyen "plan de desarrollo" del proyecto, "información del proyecto", "productos" y "plan de negocios del presupuesto de L'Oréal del nuevo proyecto".
Algunos de los archivos incluían nombres de países, lo que sugiere que los atacantes los personalicen para cada víctima y país en función de su reconocimiento.
Las víctimas identificadas estaban repartidas por todo el mundo, por lo que los atacantes no tienen como objetivo una región en particular.
Se cree que el grupo DUCKTAIL ha estado operando esta campaña desde la segunda mitad de 2021.
Después de que WithSecure expusiera su operación en agosto de este año, la operación se detuvo y los atacantes modificaron parte de su conjunto de herramientas.
Las muestras de malware analizadas a principios de este año se firmaron digitalmente con un certificado de firma de código legítimo obtenido de Sectigo a nombre de una empresa vietnamita.
Desde que se informó y revocó ese certificado, los atacantes cambiaron a GlobalSign como su autoridad de certificación.
Si bien continuaron solicitando certificados de varias CA a nombre de la empresa original, también establecieron otras seis empresas, todas en vietnamita, y obtuvieron certificados de firma de código utilizando tres de ellas.
Los certificados de firma de código requieren validación extendida (EV) donde la identidad del solicitante se verifica a través de varios documentos.
“En el momento de escribir este artículo, el actor de amenazas se ha adaptado a las revocaciones de certificados mediante la utilización de sellos de tiempo como método de contrafirma a través de DigiCert”, dijeron los investigadores de WithSecure en un nuevo informe publicado esta semana.
Las muestras de malware DUCKTAIL vistas a fines de 2021 se escribieron en .
NET Core y se compilaron utilizando la función de archivo único del marco, que agrupa todas las bibliotecas y archivos necesarios en un solo archivo ejecutable, incluido el ensamblaje principal.
Esto garantiza que el malware se pueda ejecutar en cualquier computadora con independientemente de si tiene instalado el tiempo de ejecución .
NET o no.
Desde agosto de 2022, cuando se detuvo la campaña, los investigadores de WithSecure observaron múltiples muestras de desarrollo de DUCKTAIL cargadas en VirusTotal desde Vietnam.
Una de las muestras se compiló con NativeAOT de .
NET 7, que proporciona capacidades similares a las de la función de archivo único de .
NET Core, lo que permite que los archivos binarios se compilen de forma nativa con anticipación.
Sin embargo, NativeAOT tiene soporte limitado para bibliotecas de terceros, por lo que los atacantes volvieron a .
NET Core.
También se observaron otros experimentos, como la inclusión de código antianálisis de un proyecto de GitHub que en realidad nunca se activó, la capacidad de enviar una lista de direcciones de correo electrónico como un archivo .
txt desde el servidor de comando y control en su lugar.
de codificarlos en el malware y lanzar un archivo ficticio cuando se ejecuta el malware para que el usuario desconfíe menos: se observaron archivos ficticios de documentos (.
docx), hojas de cálculo (.
xlsx) y videos (.
mp4).
Los atacantes también están probando cargadores de varias etapas para implementar malware, como un archivo de complemento de (.
xll), que extrae un cargador secundario de un blob cifrado y finalmente descarga el malware infostealer.
Los investigadores también identificaron un descargador escrito en .
NET que asocian con gran confianza a DUCKTAIL, que ejecuta un comando de PowerShell que descarga el ladrón de información de .
El malware infostealer usa los canales de para comando y control.
Es mejor que los atacantes hayan bloqueado estos canales desde que se descubrieron en agosto y algunos canales ahora tienen múltiples administradores, lo que podría sugerir que están ejecutando un programa de afiliados similar a las pandillas de ransomware.
“Esto se ve reforzado por una mayor actividad de chat y el nuevo mecanismo de cifrado de archivos que garantiza que solo ciertos usuarios podrán descifrar ciertos archivos exfiltrados”, dicen los investigadores.
Una vez desplegado, el malware DUCKTAIL busca navegadores instalados en el sistema y la ruta a su almacenamiento de cookies.
Luego roba todas las cookies almacenadas, incluida cualquier cookie de sesión de Facebook almacenada en el interior.
Una cookie de sesión es un pequeño identificador establecido por un sitio web dentro de un navegador después de que la autenticación se completa con éxito para recordar que el usuario ha iniciado sesión durante un período de tiempo.
El malware utiliza la cookie de sesión de Facebook para interactuar directamente con las páginas de Facebook o para enviar solicitudes a la API Graph de Facebook para obtener información.
Esta información incluye nombre, correo electrónico, cumpleaños e ID de usuario para cuentas personales; nombre, estado de verificación, límite de anuncios, usuarios pendientes y clientes de las páginas comerciales de Facebook a las que tienen acceso las cuentas personales; nombre, identificación, estado de la cuenta, ciclo de pago de anuncios, moneda, DSL adtrust y monto gastado para cualquier cuenta de anuncios de Facebook asociada.
El malware también verifica si la autenticación de dos factores está habilitada para las cuentas secuestradas y usa la sesión activa para obtener códigos de respaldo para el 2FA cuando está habilitado.
“La información robada de la máquina de la víctima también permite que el atacante intente estas actividades (así como otras actividades maliciosas) desde fuera de la máquina de la víctima”, dijeron los investigadores.
“La información como las cookies de sesión robadas, los tokens de acceso, los códigos 2FA, los agentes de usuario, la dirección IP y la geolocalización, así como la información general de la cuenta (como el nombre y la fecha de nacimiento) podrían usarse para encubrir y hacerse pasar por la víctima”.
El malware tiene como objetivo intentar agregar direcciones de correo electrónico controladas por atacantes a las cuentas comerciales de Facebook secuestradas con los roles más altos posibles: administrador y editor de finanzas.
Según la documentación del propietario de Facebook, Meta, los administradores tienen control total sobre la cuenta, mientras que los editores de finanzas tienen control sobre la información de la tarjeta de crédito almacenada en la cuenta, así como sobre las transacciones, facturas y gastos en la cuenta.
También pueden agregar negocios externos a tarjetas de crédito almacenadas y facturas mensuales, lo que les permite a esos negocios usar el mismo método de pago.
“En los casos en que las víctimas objetivo no tenían suficiente acceso para permitir que el malware agregara las direcciones de correo electrónico del actor de amenazas a las cuentas comerciales previstas, el actor de amenazas confiaba en la información que se extrajo de las máquinas de las víctimas y las cuentas de Facebook para hacerse pasar por ellos.
y lograr sus objetivos posteriores al compromiso a través de la actividad práctica”, dijeron los investigadores en su nuevo informe.
En un caso que investigaron los respondedores de incidentes de WithSecure, la víctima usó una máquina y nunca había iniciado sesión en Facebook desde una computadora con Windows.
No se encontró malware en el sistema y no se pudo determinar el vector de acceso inicial.
No está claro si esto estaba relacionado con DUCKTAIL, pero los investigadores establecieron que los atacantes también eran de Vietnam.
Se recomienda a los administradores de Facebook Business que revisen regularmente a los usuarios agregados en Business Manager > Configuración > Personas y revoquen el acceso a cualquier usuario desconocido al que se le haya otorgado acceso de administrador o roles de editor de finanzas.
“A lo largo de nuestras investigaciones, el equipo de WithSecure Incident Response descubrió que los registros del historial comercial y los datos de Facebook de las personas objetivo eran relevantes para el análisis del incidente”, dijeron los investigadores.
“Sin embargo, para los registros relacionados con la cuenta de Facebook del individuo, las inconsistencias están ampliamente presentes entre lo que se ve en el portal web en comparación con lo que obtendría si descargara una copia de sus datos.
Como recomendación para otros investigadores, el equipo de WithSecure Incident Response recomienda enfáticamente capturar una copia local de los registros del historial comercial lo antes posible y solicitar una copia de los datos del usuario para su cuenta”.
Síguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario