El regreso de las campañas maliciosas de Ducktail
hace 2 años
La pandilla cibernética Ducktail ha revisado sus tácticas y está utilizando técnicas más sofisticadas basadas en una investigación profunda de las cuentas corporativas y la administración de anuncios de Facebook.
Ha resurgido un grupo de atacantes, probablemente con sede en Vietnam, que se especializa en atacar a los empleados con acceso potencial a las cuentas corporativas y de administración de anuncios de Facebook. Este regreso viene con cambios en su infraestructura, malware y modus operandi después de que se dio a conocer inicialmente hace unos meses. Apodado Ducktail por los investigadores de WithSecure, el grupo utiliza el phishing selectivo para apuntar a personas en LinkedIn cuyas descripciones de trabajo podrían sugerir que tienen acceso a la administración de cuentas comerciales de Facebook. Más recientemente, también se ha observado que los piratas informáticos atacan a las víctimas a través de WhatsApp. Las cuentas comerciales de Facebook comprometidas se utilizan para publicar anuncios en la plataforma y obtener ganancias.
El abuso de la cuenta se lleva a cabo usando el navegador de la víctima a través de un programa malicioso entregado bajo la cubierta de documentos relacionados con marcas, productos y planificación de proyectos. Los atacantes primero construyen una lista de negocios que tienen páginas de negocios en Facebook. Luego buscan empleados en LinkedIn y otras fuentes que trabajen para esas empresas y cuyos títulos de trabajo puedan darles acceso a esas páginas profesionales. Estos incluyen funciones de gestión, marketing digital, medios digitales y recursos humanos. El paso final es enviarles un enlace con un archivo que contiene el malware que se hace pasar por un archivo .pdf, junto con imágenes y videos que parecen ser parte del mismo proyecto.
Algunos de los nombres de archivo observados por los investigadores incluyen proyecto "plan de desarrollo", "información del proyecto", "productos" y "nuevo plan de negocios del presupuesto del proyecto L'Oréal". Algunos de los archivos incluían nombres de países, lo que sugiere que los atacantes los personalicen para cada víctima y país en función de su reconocimiento. Las víctimas identificadas estaban repartidas por todo el mundo, por lo que los atacantes no tenían como objetivo una región específica. Se cree que el grupo Ducktail lleva realizando esta campaña desde la segunda mitad de 2021. Después de que WithSecure publicara la operación el pasado mes de agosto, la operación se detuvo y los atacantes reelaboraron algunas de sus herramientas.
Los atacantes cambian a GlobalSign como autoridad de certificación
Las muestras de malware analizadas a principios de este año se firmaron digitalmente con un certificado de firma de código oficial obtenido de Sectigo en nombre de una empresa vietnamita. Dado que este certificado fue informado y revocado, los atacantes cambiaron a GlobalSign como CA. Mientras continuaban solicitando certificados de múltiples CA en nombre de la empresa original, también establecieron otras seis empresas, todas en vietnamita, y obtuvieron certificados utilizando tres de ellas. Los certificados de firma de código requieren una validación extensa donde la identidad del solicitante se verifica a través de varios documentos. "
Al momento de escribir este artículo, el actor de amenazas se ha adaptado a las revocaciones de certificados mediante el uso de sellos de tiempo como método de contrafirma a través de DigiCert”, dijeron los investigadores de WithSecure en un último informe publicado esta semana. Las muestras de malware de Ducktail vistas a fines de 2021 se escribieron en .NET Core y se compilaron utilizando la función de archivo único del marco, que agrupa todas las bibliotecas y archivos necesarios en un solo archivo ejecutable, incluido el ensamblaje principal. Esto asegura que el malware pueda ejecutarse en cualquier computadora con Windows, ya sea que el tiempo de ejecución de .NET esté instalado o no. Desde agosto de 2022, cuando se detuvo la campaña, los investigadores de WithSecure han observado varias muestras de desarrollo de Ducktail cargadas en VirusTotal desde Vietnam. Una de las muestras se compiló con NativeAOT de .NET 7, que proporciona una funcionalidad similar a la función de archivo único de .NET Core, lo que permite que los archivos binarios se compilen de forma nativa con anticipación. Sin embargo, NativeAOT tiene soporte limitado para bibliotecas de terceros, por lo que los atacantes recurrieron a .NET Core.
También se observaron otros experimentos, como la inclusión de código antianálisis de un proyecto de GitHub que nunca se activó. También existe la opción de enviar una lista de direcciones de correo electrónico como un archivo .txt desde el servidor de comando y control o codificarlas en el malware e iniciar un archivo ficticio cuando se ejecuta el malware para que el usuario sospeche menos: ficticio archivos de documentos (.docx), hojas de cálculo (.xlsx) y videos (.mp4). Los atacantes también están probando cargadores de varias etapas para implementar malware, como un archivo de complemento de Excel (.xll), que extrae un cargador secundario de un blob cifrado y, en última instancia, descarga el malware infostealer. Los investigadores también identificaron un descargador escrito en .NET que asocian con gran confianza con Ducktail, que ejecuta un comando de PowerShell que descarga el ladrón de información de Discord. El malware Infostealer usa los canales de Telegram para comando y control. Los atacantes han bloqueado mejor estos canales desde su lanzamiento en agosto, y algunos canales ahora tienen múltiples administradores, lo que podría sugerir que están ejecutando un programa de afiliados similar a las pandillas de ransomware. “Esto se ve reforzado por el aumento de la actividad de chat y el nuevo mecanismo de cifrado de archivos que garantiza que solo ciertos usuarios podrán descifrar ciertos archivos exfiltrados”, explican los investigadores.
Autenticación de dos factores analizada
Una vez implementado, el malware Ducktail busca navegadores instalados en el sistema y la ruta a su almacenamiento de cookies. Luego roba todas las cookies almacenadas, incluidas las cookies de sesión de Facebook almacenadas en el interior. Una cookie de sesión es un pequeño identificador establecido por un sitio web en un navegador después de una autenticación exitosa para recordar que el usuario ha iniciado sesión durante un cierto período de tiempo. El malware utiliza la cookie de sesión de Facebook para interactuar directamente con las páginas de Facebook o para enviar solicitudes a la API Graph de Facebook para obtener información. Esta información incluye nombre, dirección de correo electrónico, fecha de nacimiento e identificación de usuario para cuentas personales; nombres, estado de verificación, límite de anuncios, usuarios y clientes pendientes de las páginas comerciales de Facebook a las que tienen acceso las cuentas personales; nombre, identificación, estado de la cuenta, ciclo de pago de anuncios, moneda, DSL adtrust y monto gastado para todas las cuentas de anuncios de Facebook vinculadas.
El malware también verifica si la autenticación de dos factores está habilitada para cuentas pirateadas y usa la sesión activa para obtener códigos de respaldo para 2FA cuando está habilitado. "La información robada de la máquina de la víctima también permite que el actor de amenazas intente estas actividades (así como otras actividades maliciosas) desde fuera de la máquina de la víctima", dijeron los investigadores. “Información como cookies de sesión robadas, tokens de acceso, códigos 2FA, dirección IP y geolocalización, así como información general de la cuenta (como nombre y fecha de nacimiento) podría usarse para ocultar y fingir ser la víctima”. El malware intenta agregar direcciones de correo electrónico controladas por atacantes a cuentas comerciales de Facebook pirateadas con los roles más altos posibles: administrador y gerentes de cuenta. Según la documentación del propietario de Facebook, Meta, los administradores tienen control total sobre la cuenta, mientras que los gerentes de finanzas controlan la información de la tarjeta de crédito almacenada en la cuenta, así como las transacciones, las facturas y los gastos de la cuenta. También pueden agregar empresas externas a las tarjetas de crédito almacenadas y las facturas mensuales, lo que les permite a estas empresas utilizar el mismo método de pago.
Suplantación de identidad de administrador de cuenta legítimo
"En los casos en los que las víctimas objetivo no tenían suficiente acceso para permitir que el malware agregara las direcciones de correo electrónico del actor de la amenaza a las cuentas de trabajo previstas, el grupo se basó en la información que se extrajo de las máquinas de las víctimas y las cuentas de Facebook para hacerse pasar por ellos. y lograr sus objetivos posteriores al compromiso”, dijeron los investigadores en su último informe.
En un caso que investigó el equipo de investigación de incidentes de WithSecure, la víctima estaba usando un sistema Apple y nunca había iniciado sesión en Facebook desde una computadora con Windows. No se encontró malware en él y no se pudo determinar el vector de acceso inicial. No se sabe si esto estaba relacionado con Ducktail, pero los investigadores establecieron que los atacantes también procedían de Vietnam. Se recomienda a los administradores de Facebook Business que revisen regularmente a los usuarios agregados en Business Manager > Settings > People y revoquen el acceso de cualquier usuario desconocido con acceso de administrador o una función de administrador financiero. "En nuestras investigaciones, el equipo de WithSecure Incident Response descubrió que los registros del historial de actividad y los datos de Facebook de las personas objetivo eran relevantes para el análisis de incidentes", dijeron los investigadores. Sin embargo, para los registros relacionados con la cuenta de Facebook del individuo, existen grandes inconsistencias entre lo que se ve en el portal web y lo que obtendría si descargara una copia de sus datos. Como recomendación para otros investigadores, el equipo de WithSecure Incident Response recomienda encarecidamente capturar una copia local del historial de registro de la empresa lo antes posible y solicitar una copia de los datos del usuario en su nombre.
Si quieres conocer otros artículos parecidos a El regreso de las campañas maliciosas de Ducktail puedes visitar la categoría Otros.
Otras noticias que te pueden interesar