Ducktail, una nota campagna di phishing che dirotta gli account Facebook gestendo campagne pubblicitarie per le aziende, sta ora distribuendo un nuovo malware infostealer. Secondo i ricercatori di Zscaler, Ducktail in precedenza utilizzava LinkedIn per distribuire un malware scritto in .NET Core che rubava i dati dell’account Facebook Business memorizzati in un browser web e li esfiltrava in un canale Telegram privato che fungeva da server di comando e controllo (C2) del malware, comunicando con i sistemi bersaglio per coordinare gli attacchi informatici. Ora, tuttavia, Ducktail è stato individuato mentre distribuiva una nuova variante di malware in grado di rubare non solo i dati relativi a Facebook, ma anche altri dati sensibili memorizzati nei browser, come i dati relativi ai portafogli di criptovalute, le informazioni sugli account e i dati di sistema di base.
Rubare i dati del browser
Anche il C2 è stato modificato: i dati non vengono più inviati a un canale Telegram, ma piuttosto a un sito web JSON che memorizza anche i token dell’account e altri dati necessari per le frodi sul dispositivo. Zscaler ha inoltre affermato che il malware viene condiviso come file di archivio caricato su un servizio di file hosting legittimo. Gli aggressori si sono assicurati che il malware non venisse segnalato dal software antivirus caricandolo solo in memoria. Gli utenti possono ridurre i danni causati da Ducktail e da altri malware passando a un browser anonimo o semplicemente assicurandosi di non salvare informazioni sensibili nel browser scelto. Questo è particolarmente importante perché, se il malware compromette un endpoint con un account Facebook Business, può cercare ulteriori dettagli finanziari sensibili come i dati PayPal. Questi includono gli importi spesi per determinati acquisti, gli stati di verifica e altro ancora. Nella maggior parte dei casi, gli aggressori che utilizzano il malware cercano di ingannare le persone che lo scaricano presentandolo come file di sottotitoli di film, contenuti per adulti o crack per software illegittimi. Se è vero che il nuovo infostealer di Ducktail potrebbe eludere gli antivirus, i software dotati di protezione web integrata potrebbero comunque essere d’aiuto bloccando l’accesso ai siti sospetti che potrebbero trasportarlo.
