Um vírus malicioso está tomando conta das contas de plataformas de negócios do Facebook e publicidade por meio de uma campanha de phishing direcionada às contas do LinkedIn. O malware, denominado Ducktail, se aproveita dos cookies dos navegadores dos usuários autenticados para se infiltrar nas contas e roubar informações, afirmam os pesquisadores.
Os investigadores da WithSecure (anteriormente F-Secure), publicaram um relatório na terça-feira, apontando para uma campanha de ciberataque em curso, que parece ser comandada por atores criminosos vietnamitas motivados financeiramente. A campanha parece ter começado em meados de 2021, enquanto os atores por trás dela podem estar envolvidos em crimes cibernéticos desde 2018.
Os pesquisadores reportaram em um post do blog que acompanha o relatório que o malware foi criado com o propósito de roubar cookies do navegador e explorar as sessões autenticadas do Facebook para obter informações da conta da vítima, culminando em sequestrar qualquer conta de negócios do Facebook à qual a vítima tenha acesso. Os autores do Ducktail têm um objetivo muito claro: alvos individuais dentro das empresas que usam a plataforma de negócios e publicidade do Facebook e possuem privilégios elevados à conta. Estas podem incluir elencos de gerenciamento, marketing digital, mídia digital e recursos humanos na empresa alvo, segundo os pesquisadores.
Os pesquisadores apontaram que essas técnicas aumentariam a probabilidade do oponente comprometer a atividade comercial do Facebook sem serem detectados.
Os cibercriminosos estão aproveitando o LinkedIn para encontrar vítimas para sua campanha de phishing, usando palavras-chave relacionadas a marcas, produtos e planejamento de projetos. Quando as vítimas baixam o arquivo, eles acabam instalando um executável de malware junto com imagens relacionadas, documentos e vídeos.
Programas maliciosos são usados para infiltrar computadores e dispositivos e roubar dados confidenciais, espionar os usuários, impedir o acesso a arquivos e sistemas e até mesmo apagar os dados. Os componentes de malware mais comuns são os vírus, worm, cavalos de Tróia, rootkits, spywares, adwares, ransomware e outras formas de malwares.
Os cientistas examinaram detalhadamente o recém-descoberto malware, que, em suas versões mais recentes, foi criado exclusivamente em .NET Core e compilado usando seu recurso de arquivo único, algo que não costuma ser visto em ameaças maliciosas, observaram.
Ducktail opera usando seis componentes fundamentais desde que infecta um sistema. Primeiramente, cria um Mutex e verifica para assegurar que não há mais de uma instância do malware em execução a qualquer momento, segundo os pesquisadores.
Um elemento de armazenamento de informações guarda e carrega informações furtadas dentro de um ficheiro de texto na pasta temporária, enquanto uma ferramenta de captura de navegador varre navegadores instalados para localizar locais de cookie para serem furtados mais tarde.
O Ducktail possui duas ferramentas destinadas ao roubo de informações de vítimas, uma mais generalizada, para obter dados não relacionados ao Facebook, e outra específica, que é capaz de capturar informações de contas de negócios e anúncios do Facebook, além de sequestrar tais contas, de acordo com o que relatam os pesquisadores.
Verificar se há uma máquina contaminada pelo Google Chrome, Microsoft Edge, Brave Browser ou Firefox é o primeiro passo do processo de processamento de informações. Para cada um destes encontrados, todos os cookies são extraídos, inclusive os cookies de sessão do Facebook.
O módulo do Ducktail relacionado à obtenção de dados das contas do Facebook Business/Ads se comunica diretamente com vários destinos do Facebook, tanto páginas diretas do Facebook quanto endpoints da API, usando um cookie roubado da sessão do Facebook, de acordo com os pesquisadores. Além disso, outros tokens de segurança obtidos a partir do cookie são utilizados para recuperar informações da conta Facebook da vítima, comentaram.
O malware rouba dados específicos do Facebook, tais como senhas de segurança, detalhes pessoais de identificação de conta, detalhes comerciais e informações de conta pública.
O Ducktail permite que os agressores assumam o controle completo de contas do Facebook Business, o que pode fornecer-lhes acesso a informações como o cartão de crédito de um usuário ou outros dados financeiros, de acordo com os investigadores.
Paráfrase: Controle e comando de Telegram e outras formas de evasão
Um elemento final do Ducktail extrai informações para um canal do Telegram utilizado para comandar e controlar os atores de ameaça (C&C), de acordo com os estudiosos. Isso possibilita que o ator escapar da detecção, restringindo os comandos que são enviados de C&C para o computador da vítima, de acordo com os pesquisadores.
Ademais, os vírus não têm a capacidade de permanecer em uma máquina, o que não alerta o usuário ou o Facebook sobre sua presença. Todavia, diferentes versões de Ducktail foram avistadas por ameaças reais que conseguem contornar essa falta de persistência de diferentes formas, declararam os pesquisadores.
As versões mais antigas do malware realizavam sua tarefa e então eram encerradas, enquanto as mais modernas rodam em segundo plano em um ciclo infinito realizando tarefas de extração em intervalos regulares, de acordo com os cientistas.
O Ducktail possui características embutidas no componente de dados do Facebook projetadas para contornar recursos de segurança Meta, tornando qualquer pedido de informação para as entidades do Facebook parecendo que vem do navegador primário da vítima. Isto faz com que essas ações sejam percebidas como inofensivas para a segurança Meta, explicaram os pesquisadores. Os atacantes também podem usar dados como cookies de sessão roubados, tokens de acesso, códigos 2FA, agentes de usuário, endereços IP e geolocalização, e informações gerais de conta, para mascarar e imitar a vítima, eles acrescentaram.
Altere: Divulgue este artigo.
- Malware é um tipo de programa maligno que pode ser usado para acessar dados confidenciais.
