Después de una serie de reveses operativos, incluida la exposición de sus tácticas, técnicas y procedimientos (TTP) en Internet por parte de WithSecure, el cártel de delitos cibernéticos Ducktail, con sede en Vietnam, ha estado ocupado desarrollando sus operaciones, buscando nuevos métodos para comprometer sus objetivos y robar sus Cuentas comerciales de Facebook.
El grupo había estado utilizando LinkedIn para realizar investigaciones sobre objetivos que consideraba probable que tuvieran acceso a las cuentas de Facebook Business, y luego llevó a cabo ataques de phishing dirigido contra ellos, implementando un nuevo malware de robo de información que pudo tomar el control de la presencia de Facebook del objetivo y utilizarlo. para fines tales como distribución de malware, robo, desinformación y fraude.
Luego de la exposición de sus actividades, Ducktail implementó varios cambios en su modo de operación, lo que provocó una visita de regreso del investigador de WithSecure Mohammad Kazem Hassan Nejad, quien ha estado rastreando a la pandilla durante 18 meses.
“No vemos ninguna señal de que Ducktail se desacelerará pronto, sino que los vemos evolucionar rápidamente frente a los contratiempos operativos. Hasta este punto, el equipo operativo detrás de Ducktail parecía pequeño, pero eso ha cambiado”, dijo.
Además de incorporar nuevos reclutas, Ducktail ha estado desarrollando nuevas vías para llevar a cabo sus ataques de spear phishing, incluido WhatsApp, que también es propiedad de la empresa matriz de Facebook, Meta.
También ha realizado cambios en las capacidades de su ladrón de información, codificando una forma más robusta de recuperar direcciones de correo electrónico controladas por atacantes y haciendo que parezca más legítimo al darle la capacidad de abrir documentos ficticios y archivos de video cuando se inicia.
También ha mejorado en la evasión de la detección al cambiar el formato de archivo y la compilación, y al refrendar certificados.
Además, la pandilla ha llevado a cabo un mayor desarrollo de recursos y una expansión operativa, estableciendo una serie de negocios falsos en Vietnam y estableciendo un modelo de afiliado.
WithSecure dijo que recientemente había ayudado a varias víctimas de Ducktail y otras amenazas dirigidas a la plataforma de anuncios y negocios de Facebook, con pérdidas de hasta $ 600,000 en créditos publicitarios, destacando que si bien los ataques de ransomware atraen mucha atención, otras amenazas pueden ser igualmente como perjudicial para el valor financiero y de marca de una organización.
Los ataques que explotan Facebook pueden ser un desafío adicional debido a la falta de separación entre las cuentas personales y comerciales, lo que potencialmente abre vías adicionales de riesgo, dijo John Rogers, jefe global de respuesta a incidentes en WithSecure.
“Usar los mismos recursos para uso personal y comercial puede ser bastante problemático. Por ejemplo, investigar un posible incidente de Ducktail puede requerir registros sobre el historial de Facebook de una persona, lo que puede tener muchas implicaciones operativas, éticas y legales imprevistas”, dijo.
“Es un tema que preocupa a las organizaciones ya sus empleados, por lo que ambos deben comprender los riesgos de estas situaciones”, agregó Rogers.
Hay una serie de pasos que las organizaciones pueden tomar para protegerse de tales organizaciones.
Estos incluyen la capacitación del personal sobre el phishing selectivo, en particular para los usuarios que pueden acceder a las cuentas de Facebook Business; hacer cumplir las listas de aplicaciones permitidas para detener la ejecución de ejecutables desconocidos; implementar soluciones de detección y respuesta de punto final (EDR) para detectar malware antes de que pueda causar daños; implementar medidas básicas de higiene y protección para los dispositivos administrados o personales que se usan en las cuentas de Facebook Business; y usar la navegación privada para autenticar las sesiones de trabajo al acceder a las cuentas de Facebook Business.