Ducktail inventa novas histórias para sequestrar contas comerciais do Facebook

Por

• Alex Scroxton, Editor de segurança

  Publicado:

  22 de novembro de 2022 15:03

• Após uma série de contratempos operacionais, inclusive tendo suas táticas, técnicas e procedimentos (TTPs) expostos na Internet pela WithSecure, o cartel do crime cibernético Ducktail, com sede no Vietnã, tem desenvolvido suas operações ativamente, buscando novos métodos para comprometer seus alvos e roubar suas contas de negócios do Facebook.

  O grupo estava usando o LinkedIn para realizar pesquisas sobre alvos que considerava prováveis ​​de ter acesso a contas comerciais do Facebook e, em seguida, conduziu ataque de spear phishing

  ks contra eles, implantando um novo malware infostealer capaz de assumir o controle da presença do alvo no Facebook e usá-lo para fins como distribuição de malware, roubo, desinformação e fraude.

  Após a exposição de suas atividades, Ducktail implementou várias mudanças em seu modo de operação, levando a uma visita de retorno do pesquisador WithSecure Mohammad Kazem Hassan Nejad,

que está rastreando a gangue há 18 meses

.

“Não vemos nenhum sinal de desaceleração do Ducktail em breve, mas sim uma evolução rápida diante de contratempos operacionais. Até este ponto, a equipe operacional por trás do Ducktail era aparentemente pequena, mas isso mudou”, disse ele.

Além de integrar novos recrutas, o Ducktail tem desenvolvido novos caminhos para conduzir seu spear phishing ataques, incluindo o WhatsApp, que também é propriedade do pai do Facebook, Meta. parece mais legítimo, dando-lhe a capacidade de abrir documentos fictícios e arquivos de vídeo quando é iniciado.

Também ficou melhor em evitar a detecção alterando o formato de arquivo e compilação e certificados de assinatura.

Além disso, a quadrilha conduziu mais desenvolvimento de recursos e expansão operacional, estabelecendo uma série de negócios falsos no Vietnã e estabelecendo um modelo de afiliado.

WithSecure disse que ajudou recentemente várias vítimas de Ducktail e outras ameaças direcionadas a Fac A plataforma de anúncios e negócios do ebook, com perdas de até US$ 600.000 em créditos de publicidade, destacando que, embora os ataques de ransomware atraiam muita atenção, outras ameaças podem ser igualmente prejudiciais para o patrimônio financeiro e de marca de uma organização.

Os ataques que exploram o Facebook podem ser ainda mais desafiadores devido à falta de separação entre contas pessoais e comerciais, o que potencialmente abre caminhos adicionais de risco, disse John Rogers, chefe global de resposta a incidentes da WithSecure.

“Usar os mesmos recursos para fins pessoais e empresariais pode ser bastante problemático. Por exemplo, investigar um possível incidente do Ducktail pode exigir registros sobre o histórico de um indivíduo no Facebook, o que pode ter muitas implicações operacionais, éticas e legais imprevistas”, disse ele.

“É uma questão que preocupa organizações e seus funcionários, portanto, ambos precisam entender os riscos nessas situações”, acrescentou Rogers.

Há uma série de medidas que as organizações podem tomar para se proteger de tais organizações.

Isso inclui a realização de treinamento de pessoal sobre spear-phishing, particularmente para usuários que podem acessar contas do Facebook Business; aplicar listas de permissões de aplicativos para impedir a execução de executáveis ​​desconhecidos; implantação de soluções de detecção e resposta de endpoint (EDR) para detectar malware antes que ele possa causar danos; implementar higiene e proteção básicas para dispositivos gerenciados ou pessoais usados ​​em contas do Facebook Business; e usando navegação privada para autenticar sessões de trabalho ao acessar contas do Facebook Business.

Leia mais sobre hackers e prevenção de crimes cibernéticos

• ComSeguro foco no comercial facilitando a vida dos parceiros

  Por: Simon Quicke




A falha de criptografia de e-mail do Office 365 pode representar um risco para a privacidade do usuário

Por: Alex Scroxton