Gli operatori del malware Ducktail hanno dimostrato una “volontà implacabile di persistere” e hanno continuato ad aggiornare il loro malware come parte di una campagna finanziaria in corso. “Il malware è progettato per rubare i cookie del browser e sfruttare le sessioni autenticate di Facebook per rubare informazioni dall’account Facebook della vittima”, ha dichiarato in una nuova analisi il ricercatore di WithSecure Mohammad Kazem Hassan Nejad. “L’operazione finisce per dirottare gli account Facebook Business a cui la vittima ha accesso sufficiente. L’attore delle minacce utilizza l’accesso ottenuto per eseguire annunci pubblicitari a scopo di lucro”.
Attribuita a un attore minaccioso vietnamita, la campagna Ducktail è stata progettata per colpire le aziende del settore del marketing e della pubblicità digitale attive sulla piattaforma Facebook Ads e Business. Nel mirino ci sono anche le persone che, all’interno delle aziende potenziali, hanno probabilmente un accesso di alto livello agli account Facebook Business. Tra questi, il personale addetto al marketing, ai media e alle risorse umane. L’attività dannosa è stata documentata per la prima volta dalla società finlandese di cybersicurezza nel luglio 2022. Si ritiene che l’operazione sia in corso dalla seconda metà del 2021, anche se le prove indicano che l’attore della minaccia era attivo già dalla fine del 2018.
Malware Ducktail
Un’analisi successiva condotta da Zscaler ThreatLabz il mese scorso ha scoperto una versione PHP del malware distribuita come installatore di software craccato. WithSecure, tuttavia, ha dichiarato che l’attività non ha alcun legame con la campagna che traccia con il nome Ducktail. L’ultima iterazione del malware, che è riemersa il 6 settembre 2022, dopo che l’attore della minaccia è stato costretto a interrompere le sue operazioni il 12 agosto in risposta alla divulgazione pubblica, è dotata di una serie di miglioramenti incorporati per eludere il rilevamento. Le catene di infezione iniziano ora con la consegna di file di archivio contenenti documenti di fogli di calcolo ospitati su Apple iCloud e Discord attraverso piattaforme come LinkedIn e WhatsApp, indicando una diversificazione delle tattiche di spear-phishing dell’attore delle minacce. Le informazioni dell’account Facebook Business raccolte dal malware, firmate con certificati digitali ottenuti sotto le sembianze di sette diverse aziende inesistenti, vengono esfiltrate utilizzando Telegram. “Un cambiamento interessante che è stato osservato con l’ultima campagna è che [i canali di comando e controllo di Telegram] ora includono più account di amministratore, indicando che l’avversario potrebbe gestire un programma di affiliazione”, ha spiegato Nejad.
