El nuevo malware impulsado por las finanzas se dirige a los profesionales con acceso a la cuenta de Facebook Business
3 minuto. leer
Publicado el
Compartir este artículo
Mejorar esta guía
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
El nuevo malware anda suelto y está creado específicamente para apoderarse de las cuentas de Facebook Business. Lo más importante es que se dirige a personas con acceso a dichas cuentas, como personas de recursos humanos y especialistas en marketing digital. Con esto, si usted es uno de ellos, es posible que desee tener mucho cuidado en línea, especialmente al descargar archivos que parecen sospechosos. (a través de TechCrunch)
La existencia del malware fue descubierta por la empresa de seguridad cibernética WithSecure, que ya compartió los detalles de su investigación con Meta. Nombrado el “cola de pato”, se dice que el malware es capaz de robar datos de los objetivos, que se eligen en función de la información de su perfil de LinkedIn. Para garantizar aún más el éxito de la operación, se dice que los actores seleccionan profesionales con un alto nivel de acceso a las cuentas de negocios de Facebook de su empresa.
“Creemos que los operadores de Ducktail seleccionan cuidadosamente una pequeña cantidad de objetivos para aumentar sus posibilidades de éxito y pasar desapercibidos”, dijo Mohammad Kazem Hassan Nejad, investigador y analista de malware de WithSecure Intelligence. “Hemos observado que las personas con roles gerenciales, de marketing digital, de medios digitales y de recursos humanos en las empresas han sido atacadas”.
Según WithSecure, encontraron pruebas que muestran a un ciberdelincuente vietnamita trabajando y distribuyendo el malware desde 2021. Afirmó que no podía decir el éxito de la operación o la cantidad de usuarios afectados. Además, los investigadores de WithSecure afirman que no se ha observado un patrón regional en los ataques, pero que las víctimas podrían estar dispersas en varios lugares de Europa, Medio Oriente, África y América del Norte.
WithSecure explicó que después de elegir los objetivos correctos, el actor malicioso los manipularía para descargar un archivo en la nube (por ejemplo, Dropbox e iCloud). Para que el archivo sea convincente, incluso vendría con palabras relacionadas con el negocio y la marca. Sin embargo, la verdadera naturaleza del archivo se encuentra dentro del malware de robo de datos que esconde.
La instalación del archivo liberará el malware que puede retener los datos valiosos del objetivo, como las cookies del navegador, que los actores pueden usar para tomar el control de las sesiones autenticadas de Facebook. Con esto, pueden poner sus manos en la víctima. Facebook información de la cuenta, como datos de ubicación y códigos de autenticación de dos factores. En cuanto a aquellos que tienen acceso a las cuentas de Facebook Business, los actores simplemente necesitan agregar una dirección de correo electrónico a la cuenta secuestrada.
“El destinatario, en este caso, el actor de amenazas, luego interactúa con el enlace enviado por correo electrónico para obtener acceso a ese negocio de Facebook”, explica Nejad. “Este mecanismo representa el proceso estándar utilizado para otorgar a las personas acceso a una empresa de Facebook y, por lo tanto, elude las funciones de seguridad implementadas por Meta para protegerse contra dicho abuso”.
Finalmente, una vez que los operadores de Ducktail tengan control total sobre las cuentas de Facebook Business, pueden reemplazar la información financiera de las cuentas con la de su grupo, lo que les permite recibir los pagos de los clientes. Esto también les da la oportunidad de utilizar el dinero vinculado a las cuentas para diferentes propósitos.
