Uma campanha de spear phishing conhecida como "Ducktail" está circulando no LinkedIn visando indivíduos que gerenciam contas do Facebook Business. Um infostealer está sendo usado no processo para acessar informações.

Indivíduos específicos estão sendo alvejados pelo ator malicioso

No pato spear phishing campanha, os invasores visam apenas indivíduos que gerenciam contas do Facebook Business e portanto, foram concedidas certas permissões para as ferramentas de publicidade e marketing de uma empresa em Facebook. Aqueles que são mostrados no LinkedIn como tendo funções em marketing digital, marketing de mídia social, publicidade digital ou similar, são os principais alvos desse invasor.

Empresa de segurança cibernética WithSecure relatado em uma publicação recente que o malware Ducktail é o primeiro de seu tipo, e acredita-se que seja controlado por um operador vietnamita.

Não se sabe exatamente há quanto tempo essa campanha está acontecendo, mas ela foi confirmada como ativa há pelo menos um ano. No entanto, Ducktail pode ter sido criado e usado pela primeira vez há quatro anos no momento da redação.

Embora as contas do LinkedIn não estejam sendo direcionadas diretamente nesta campanha, a plataforma está sendo usada como um veículo para acessar os alvos. O agente malicioso procura usuários com funções que sugerem que eles têm acesso de alto nível às ferramentas de publicidade de seus empregadores, incluindo sua conta do Facebook Business.

Em seguida, o invasor usará engenharia social para persuadir a vítima a baixar um arquivo que contém um executável de malware bem como algumas imagens e arquivos adicionais, todos hospedados por uma variedade de provedores de armazenamento em nuvem, como Dropbox e iCloud. O malware Ducktail é escrito em .NET Core, uma estrutura de software de código aberto. Isso significa que o malware infostealer pode ser executado em praticamente qualquer dispositivo, independentemente do sistema operacional usado.

O malware Ducktail pode procurar cookies do navegador para encontrar as informações de login necessárias para acessar uma conta do Facebook Business por sequestrando o cookie de sessão. Ao invadir uma conta do Facebook Business, informações confidenciais sobre a empresa, seus clientes e a dinâmica de publicidade podem ser roubadas.

Ganho financeiro é o objetivo provável na campanha Ducktail

WithSecure declarou em seu post sobre Ducktail que as ações da parte mal-intencionada são provavelmente "orientadas financeiramente". Quando o invasor obtém controle total da conta comercial do Facebook segmentada, ele pode editar o cartão de crédito e informações transacionais e usam os métodos de pagamento da empresa para veicular sua própria publicidade campanhas. Isso pode ser prejudicial financeiramente para a empresa, mas pode demorar um pouco para ser percebido, o que dá ao agente mal-intencionado mais tempo para explorar a vítima.

Ducktail pode acumular muitas vítimas em um futuro próximo

Como o Ducktail é um tipo de malware único e tem como alvo uma área que muitas pessoas não pensariam em verificar, ele pode ser usado para explorar com sucesso uma longa lista de vítimas ao longo do tempo. Embora não se saiba se o invasor se infiltrou com sucesso em qualquer conta do Facebook Business, a ameaça ainda permanece.