{"id":26886,"date":"2023-12-07T00:18:15","date_gmt":"2023-12-07T06:18:15","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26886"},"modified":"2023-12-07T00:18:15","modified_gmt":"2023-12-07T06:18:15","slug":"ducktail-steals-facebook-business-accounts","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ducktail-steals-facebook-business-accounts\/26886\/","title":{"rendered":"Malware que roba cuentas de Facebook"},"content":{"rendered":"

Nuestros investigadores han descubierto una nueva versi\u00f3n de la familia del malware Ducktail que est\u00e1 especializada en el robo de cuentas de Facebook Business. Los cibercriminales la est\u00e1n utilizando para atacar a empleados de compa\u00f1\u00edas que ocupan o puestos importantes en la compa\u00f1\u00eda o trabajan en las \u00e1reas de Recursos Humanos, marketing digital o marketing en redes sociales. Y tiene sentido ya que su objetivo final es secuestrar las cuentas corporativas de Facebook, as\u00ed que los atacantes est\u00e1n interesados en las personas que con m\u00e1s probabilidad pueden tener acceso a ellas. Vamos a explicar c\u00f3mo los atacantes ejecutan estos ataques, por qu\u00e9 son inusuales y, por supuesto, c\u00f3mo protegerse de ellos.<\/p>\n

Cebo y carga maliciosa<\/h2>\n

Los cibercriminales detr\u00e1s de Ducktail mandan archivos maliciosos a sus v\u00edctimas. Para bajar la vigilancia del destinatario, los archivos contienen cebos en forma de im\u00e1genes o archivos de v\u00eddeo sobre un tema com\u00fan. Por ejemplo, en la campa\u00f1a m\u00e1s reciente, de marzo a principios de octubre de 2023, la tem\u00e1tica era la moda: enviaban correos electr\u00f3nicos en nombre de grandes marcas de la industria con archivos que conten\u00edan fotos de modelos de ropa.<\/p>\n

Sin embargo, dentro de estos archivos se encontraban otros ejecutables disfrazados de archivos PDF. Estos archivos ten\u00edan un icono de PDF y unos nombres muy largos para desviar la atenci\u00f3n de la v\u00edctima de la extensi\u00f3n EXE e incitar al destinatario a abrir el falso PDF para ver el contenido de este.\u00a0 En esta campa\u00f1a tem\u00e1tica sobre moda, los nombres hac\u00edan referencia a \u201cgu\u00edas y requisitos para candidatos\u201d, pero otros cebos tipo eran listas de precios, ofertas comerciales y etc.<\/p>\n

\"Contenido<\/a>

Los archivos maliciosos Ducktail parecen contener un fichero PDF cuando realmente se trata de una extensi\u00f3n EXE.<\/p><\/div>\n

Al hacer clic en el archivo con la extensi\u00f3n EXE camuflada, se ejecuta un script malicioso en el dispositivo de destino. En primer lugar, muestra el contenido de un PDF, incrustado en el c\u00f3digo de malware, para que la v\u00edctima no sea consciente de lo que est\u00e1 ocurriendo. Al mismo tiempo, el malware escanea todos los accesos directos del escritorio, el men\u00fa Inicio y la barra de Inicio r\u00e1pido. El objetivo de la b\u00fasqueda son los accesos directos a navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Vivaldi, Brave\u2026 Cuando encuentra uno de ellos, el malware lo altera a\u00f1adiendo un comando para instalar una extensi\u00f3n en el navegador, que est\u00e1 incluido tambi\u00e9n en el archivo ejecutable. Cinco minutos despu\u00e9s de ser ejecutado, el script malicioso termina el proceso del navegador, solicitando al usuario que reinicie utilizando el acceso directo ya modificado.<\/p>\n

Extensi\u00f3n maliciosa en el navegador<\/h2>\n

Cuando el usuario hace clic en el acceso directo, la extensi\u00f3n maliciosa se instala en el navegador, donde se disfraza de Documentos de Google sin Conexi\u00f3n, usando el mismo icono y la misma descripci\u00f3n. Aunque esto \u00faltimo solo en ingl\u00e9s, lo que puede desvelar el enga\u00f1o.<\/p>\n

\"Extensi\u00f3n<\/a>

La extensi\u00f3n maliciosa se disfraza de Documentos de Google sin Conexi\u00f3n (izquierda) y la verdadera extensi\u00f3n de Documentos de Google sin Conexi\u00f3n en el navegador de Google Chrome.<\/p><\/div>\n

Una vez instalados y en ejecuci\u00f3n, la extensi\u00f3n maliciosa empieza a monitorizar todas las pesta\u00f1as que vaya abriendo el usuario en el navegador y a enviar informaci\u00f3n sobre ellas al servidor C2 de los atacantes. Si encuentra una direcci\u00f3n asociada a Facebook en una de las pesta\u00f1as abiertas, la extensi\u00f3n maliciosa comprueba si se trata de una cuenta publicitaria o de un Business Manager para intentar secuestrarlas.<\/p>\n

La extensi\u00f3n roba informaci\u00f3n de las cuentas de Facebook en las que se ha iniciado sesi\u00f3n en el dispositivo de la v\u00edctima, as\u00ed como de las cookies de las sesiones activas en el navegador, que pueden usare para iniciar sesi\u00f3n en las cuentas sin autenticaci\u00f3n.<\/p>\n

El grupo detr\u00e1s de este malware parece<\/a> estar activo desde 2018. Diversos<\/a> equipos de investigaci\u00f3n creen que es de origen vietnamita. La distribuci\u00f3n de Ducktail por parte de este grupo se remonta a 2021.<\/p>\n

C\u00f3mo protegerse Ducktail<\/h2>\n

Para protegerse de Ducktail y de amenazas similares, los empleados deben tener buenos h\u00e1bitos de ciberhigiene. En concreto:<\/p>\n