Un nuovo malware sta dirottando gli account di Meta Facebook Business e della piattaforma pubblicitaria di alto profilo attraverso una campagna di phishing che prende di mira gli account di LinkedIn. Il malware, denominato Ducktail, utilizza i cookie del browser provenienti da sessioni utente autenticate per impadronirsi degli account e rubare i dati, hanno dichiarato i ricercatori.

In un rapporto pubblicato, i ricercatori di WithSecure, ex F-Secure, hanno scoperto la campagna in corso, che sembra essere opera di attori vietnamiti con interessi finanziari. La campagna in sé sembra essere attiva almeno dalla seconda metà del 2021, mentre gli attori delle minacce dietro di essa potrebbero essere sulla scena criminale informatica dal 2018, hanno detto i ricercatori.

“Il malware è progettato per rubare i cookie del browser e sfruttare le sessioni autenticate di Facebook per rubare informazioni dall’account Facebook della vittima e, infine, dirottare qualsiasi account Facebook Business a cui la vittima abbia accesso sufficiente“, hanno scritto i ricercatori in un post sul blog che accompagna il rapporto. Gli attori di Ducktail hanno in mente obiettivi molto specifici, ovvero individui all’interno di aziende che operano sulla piattaforma Business e pubblicitaria di Facebook e che hanno accesso di alto livello all’account. Si tratta di persone che ricoprono ruoli manageriali, di marketing digitale, di media digitali e di risorse umane nelle aziende prese di mira.

“Queste tattiche aumenterebbero le possibilità dell’avversario di compromettere il rispettivo account Facebook Business, pur passando inosservato“, hanno scritto i ricercatori.

Per infiltrarsi negli account, gli attori stanno prendendo di mira gli utenti di LinkedIn con una campagna di phishing che attira le vittime utilizzando parole chiave relative a marchi, prodotti e pianificazione di progetti per far scaricare un file di archivio contenente l’eseguibile del malware insieme a immagini, documenti e file video correlati, hanno riferito i ricercatori.

Componenti del malware

I ricercatori hanno fatto un’analisi profonda nel nuovo malware, che nei suoi ultimi campioni è scritto esclusivamente in .NET Core e compilato tramite la sua funzione a file singolo, cosa “non comunemente vista nel malware“, hanno osservato.

Ducktail opera utilizzando sei componenti chiave una volta infettato un sistema.

Per prima cosa crea e controlla Mutex per garantire che solo una singola istanza del malware sia in esecuzione in qualsiasi momento, hanno detto i ricercatori.

Un componente per l’archiviazione dei dati memorizza e carica i dati rubati in un file di testo in una cartella temporanea, mentre una funzione di scansione del browser analizza i browser installati per identificare i percorsi dei cookie per un successivo furto.

Ducktail ha anche due componenti dedicati al furto di informazioni dalle vittime, uno più generale, che ruba informazioni non legate a Facebook, e un altro che ruba informazioni specificamente legate agli account Facebook Business, quindi pubblicitari, e dirotta tali account, hanno detto i ricercatori.

Il primo componente generale per il furto di informazioni esegue la scansione di un computer infetto alla ricerca di Google Chrome, Microsoft Edge, Brave Browser o Firefox e, per ognuno di essi, estrae tutti i cookie memorizzati, compresi quelli di sessione di Facebook.

Il componente di Ducktail dedicato all’estrazione dei dati dagli account Facebook Business/Ads interagisce direttamente con vari endpoint di Facebook – pagine Facebook dirette o endpoint API – dal computer della vittima utilizzando un cookie di sessione di Facebook rubato, hanno detto i ricercatori. Inoltre, utilizza altre credenziali di sicurezza ottenute dal cookie per estrarre informazioni dall’account Facebook della vittima.

Le informazioni specifiche che il malware ruba da Facebook includono: credenziali di sicurezza, informazioni di identificazione dell’account personale, dettagli aziendali e informazioni sull’account pubblicitario.

Ducktail consente inoltre agli attori delle minacce di assumere il pieno controllo amministrativo degli account Facebook Business, il che può consentire loro di accedere alla carta di credito dell’utente o ad altri dati transazionali a scopo di lucro, secondo i ricercatori.

C&C di Telegram e altri trucchi di evasione

Un ultimo componente di Ducktail esfiltra i dati in un canale Telegram utilizzato come comando e controllo (C&C) dagli attori della minaccia, secondo i ricercatori. Questo permette all’attore di eludere il rilevamento limitando i comandi inviati dal C&C al computer della vittima, hanno detto i ricercatori.

Inoltre, il malware non stabilisce la persistenza su un computer, il che significa che può entrare e fare il suo sporco lavoro senza avvisare l’utente o segnalare la sicurezza di Facebook, hanno detto i ricercatori. Tuttavia, le diverse versioni di Ducktail osservate dagli attori delle minacce hanno eseguito questa mancanza di persistenza in vari modi.

“Le versioni più vecchie del malware vengono semplicemente eseguite, fanno ciò per cui sono state progettate e poi escono“, hanno scritto i ricercatori. “Le versioni più recenti eseguono un ciclo infinito in background che esegue periodicamente attività di esfiltrazione“.

Ducktail ha anche caratteristiche intrinseche nel componente di furto di dati di Facebook, progettato per aggirare le funzioni di sicurezza di Meta facendo apparire qualsiasi richiesta di dati a entità Facebook come proveniente dal browser principale della vittima. Gli aggressori possono inoltre utilizzare informazioni come i cookie di sessione rubati, i token di accesso, i codici 2FA, gli agenti utente, l’indirizzo IP e la geolocalizzazione, nonché le informazioni generali sull’account, per occultare e impersonare la vittima.