A los tradicionales países emisores de malware y campañas de ciberdelincuencia habituales se ha unido ahora DUCKTAIL». En este caso se trata de una campaña de cibermalware cuyo origen se encuentra en Vietnam y que ha sido descubierta a principios del pasado año por la firma de ciberseguridad WithSecure™ (anteriormente conocida como F-Secure business) que desde principios de este año, ha seguido evolucionando sus operaciones, según un nuevo análisis.
El malware desarrollado por el grupo de ciberdelincuentes vietnamita ha evolucionado desde su creación y emplea fundamentalmente las plataformas Ads de LinkedIN y Business de Facebook, con el objetivo de secuestrar cuentas de ambas redes sociales.
Descubierto por la firma de ciberseguridad WithSecure, DUCKTAIL usa vehículo de propagación las plataformas Ads de LinkedIN y Business de Facebook
Tras la denuncia de las actividades de DUCKTAIL en un informe publicado durante el verano, el grupo ha cambiado su forma de actuar para eludir las defensas y ampliar sus operaciones. A pesar del descubrimiento por parte de WithSecure, no parece que el grupo vietnamita que está detrás de la campaña vaya a reducir su actividad, más bien al contrario. Y es que, como afirma Mohammad Kazem Hassan Nejad, Investigador de WithSecure Intelligence, “creemos que DUCKTAIL va a ir evolucionando de forma muy rápida ante los contratiempos operativos. Hasta este momento, el equipo operativo detrás de DUCKTAIL era aparentemente pequeño, pero eso ha cambiado».
Los cambios de DUCKTAIL
La afirmación del experto de WithSecure tiene su razón de ser, puesto que la actividad de DUCKTAIL observada desde principios de septiembre presenta varios cambios en su modo de funcionamiento, entre ellos:
• Nuevas vías de spear-phish, como WhatsApp.
• Cambios en las capacidades del malware con una forma más robusta de recuperar las direcciones de correo electrónico controladas por el atacante y hacer que el malware parezca más legítimo abriendo documentos y archivos de vídeo falsos al iniciarse.
• Esfuerzos continuos en la evasión de la defensa cambiando el formato del archivo y la compilación, así como refrendando los certificados.
• Mayor desarrollo de recursos y expansión operativa mediante la creación de nuevas empresas ficticias en Vietnam y la incorporación de filiales a la operación.
A pesar de que los ataques de ransomware siguen copando el protagonismo, no hay que desdeñar amenazas como las que supone esta nueva campaña. En este sentido, Paolo Palumbo, Vicepresidente de WithSecure Intelligence, afirma que “los ataques de ransomware reciben mucha atención, pero amenazas como DUCKTAIL pueden causar daños financieros y de marca sustanciales y no deben pasarse por alto. Con el aumento de la actividad, los nuevos afiliados y las empresas falsas, esperamos un aumento de los incidentes relacionados con DUCKTAIL en el futuro previsible».
DUCKTAIL en las trincheras
El equipo de respuesta a incidentes de WithSecure ha ayudado a varias organizaciones víctimas a responder a ataques de DUCKTAIL y otras amenazas dirigidas a la plataforma Ads & Business de Facebook. Las pérdidas de estos ataques oscilaron entre uno y seiscientos mil dólares en créditos publicitarios. Según John Rogers, Jefe Global de Respuesta a Incidentes de WithSecure, este tipo de amenazas son un reto para las empresas debido a la falta de separación entre las cuentas personales y las empresariales.»Utilizar los mismos recursos para fines personales y profesionales puede resultar bastante problemático. Por ejemplo, investigar un posible incidente de DUCKTAIL puede requerir registros sobre el historial de Facebook de una persona, lo que puede tener muchas implicaciones operativas, éticas y legales imprevistas. Es un asunto que concierne a las organizaciones y a sus empleados, por lo que ambos deben comprender los riesgos de estas situaciones», afirmó el experto.
Combatir DUCKTAIL
Como medidas de protección para protegerse de DUCKTAIL y amenazas similares, las empresas deberían realizar las siguientes acciones:
• Sensibilizar sobre el spear-phishing a los usuarios con acceso a cuentas de empresa de Facebook/Meta.
• Aplicar listas de aplicaciones permitidas para evitar que se ejecuten ejecutables desconocidos.
• Utilice soluciones EDR/EPP para prevenir y detectar el malware en las primeras fases del ciclo de vida del ataque.
• Asegurarse de que los dispositivos personales o gestionados que se utilizan con las cuentas de Facebook de la empresa cuentan con las medidas básicas de higiene y protección.
• Utilizar la navegación privada para autenticar cada sesión de trabajo cuando se acceda a las cuentas de Facebook Business (de este modo, la sesión se olvida al terminar, lo que evita que se roben las cookies y se abuse de ellas).
• Seguir las prácticas de seguridad recomendadas por Meta.
• Descargar y analizar los registros pertinentes lo antes posible cuando responda a un presunto incidente.
Más información:
ANÁLISIS COMPLETO: https://labs.withsecure.com/publications/ducktail-returns.
MÁS INFORMACIÓN SOBRE DUCKTAIL: https://labs.withsecure.com/publications/ducktail.