I ricercatori di WithSecure hanno scoperto un’operazione in corso, denominata “DUCKTAIL”, che prende di mira individui e organizzazioni che operano sulla piattaforma Business e Ads di Facebook.
L’infostealer è progettato per rubare i cookie del browser e sfruttare le sessioni autenticate di Facebook, per rubare informazioni dall’account Facebook della vittima e infine per dirottare qualsiasi account Facebook Business a cui la vittima ha accesso.
Sulla base dell’analisi e dei dati raccolti, gli esperti ritengono che l’operazione sia condotta da un threat actor vietnamita motivato finanziariamente. Il threat actor si rivolge a individui con ruoli manageriali di alto profilo, in particolare utenti con privilegi di amministratore.
WithSecure aveva condiviso la sua ricerca DUCKTAIL prima del rilascio con la società madre di Facebook Meta, che ha fornito la seguente dichiarazione:
“Accogliamo con favore la ricerca sulla sicurezza sulle minacce che prendono di mira il nostro settore. Questo è uno spazio altamente contraddittorio e sappiamo che questi gruppi dannosi continueranno a cercare di eludere il nostro rilevamento. Siamo a conoscenza di questi particolari truffatori, li contrastiamo regolarmente e continuiamo ad aggiornare i nostri sistemi per rilevare questi tentativi. Poiché questo malware viene in genere scaricato fuori dalla piattaforma, incoraggiamo le persone a prestare attenzione al software che installano sui propri dispositivi.”
Un rapporto completo contenente un’analisi dettagliata del componente malware, delle raccomandazioni e della protezione di DUCKTAIL, nonché appendici contenenti indicatori di compromissione, opportunità di rilevamento e tecniche di MITRE ATT&CK è disponibile nel rapporto PDF.
https://labs.withsecure.com/publications/ducktail/
https://www.securityopenlab.it/news/2201/ducktail-e-il-malware-per-i-social-dei-professionisti.html