Ciberdelincuentes vietnamitas atacan cuentas comerciales de Facebook con malvertising

-


Actores maliciosos asociados con el ecosistema de ciberdelincuencia vietnamita están utilizando la publicidad como vector en plataformas de redes sociales como Facebook, propiedad de Meta, para distribuir malware.

"Los actores de amenazas han utilizado durante mucho tiempo anuncios fraudulentos como un vector para atacar a las víctimas con estafas, malvertising y más", dijo el investigador de WithSecure, Mohammad Kazem Hassan Nejad. "Y con las empresas ahora aprovechando el alcance de las redes sociales para la publicidad, los atacantes tienen un nuevo tipo de ataque altamente lucrativo para agregar a su arsenal: el secuestro de cuentas comerciales".

Los ciberataques dirigidos a cuentas comerciales de Meta y Facebook han ganado popularidad en el último año, gracias a grupos de actividad como Ducktail y NodeStealer, que son conocidos por atacar a empresas e individuos que operan en Facebook.

Entre los métodos empleados por los ciberdelincuentes para obtener acceso no autorizado a cuentas de usuario, la ingeniería social juega un papel significativo.

Las víctimas son abordadas a través de diversas plataformas que van desde Facebook y LinkedIn hasta WhatsApp y portales de trabajo freelance como Upwork. Otro mecanismo de distribución conocido es el uso de envenenamiento de motores de búsqueda para impulsar software falso como CapCut, Notepad++, OpenAI ChatGPT, Google Bard y Meta Threads.

Un elemento común a estos grupos es el abuso de servicios de acortamiento de URL, Telegram para el comando y control (C2), y servicios en la nube legítimos como Trello, Discord, Dropbox, iCloud, OneDrive y Mediafire para alojar las cargas maliciosas.

Los actores detrás de Ducktail, por ejemplo, utilizan señuelos relacionados con proyectos de marca y marketing para infiltrarse en individuos y empresas que operan en la plataforma comercial de Meta, con nuevas oleadas de ataques que emplean temas relacionados con el empleo y la contratación para activar la infección.

En estos ataques, los objetivos potenciales son dirigidos a publicaciones falsas en Upwork y Freelancer a través de anuncios de Facebook o LinkedIn InMail, que, a su vez, contienen un enlace a un archivo de descripción de trabajo trampa alojado en uno de los proveedores de almacenamiento en la nube mencionados anteriormente, lo que finalmente lleva al despliegue del malware Ducktail stealer.

"El malware Ducktail roba cookies de sesión guardadas en navegadores, con código específicamente diseñado para apoderarse de cuentas comerciales de Facebook", señalaron los investigadores de Zscaler ThreatLabz, Sudeep Singh y Naveen Selvan, en un análisis paralelo, afirmando que las cuentas se venden por un precio que varía entre $15 y $340.

"Los 'productos' de la operación (es decir, cuentas de redes sociales hackeadas) alimentan una economía subterránea de cuentas de redes sociales robadas, donde numerosos proveedores ofrecen cuentas con precios según su utilidad percibida para la actividad maliciosa".

Las secuencias de infección observadas entre febrero y marzo de 2023 han involucrado el uso de archivos de acceso directo y PowerShell para descargar y lanzar el malware final, ilustrando la continua evolución de las tácticas de los atacantes.

La experimentación también se extiende al stealer, que ha sido actualizado para recolectar información personal del usuario de X (anteriormente Twitter), TikTok Business y Google Ads, así como para aprovechar las cookies de sesión de Facebook robadas para crear anuncios fraudulentos de forma automatizada y obtener privilegios elevados para realizar otras acciones.



Un método principal utilizado para apoderarse de la cuenta comprometida de una víctima es agregar su propia dirección de correo electrónico a esa cuenta, cambiando posteriormente la contraseña y la dirección de correo electrónico de la cuenta de Facebook de la víctima para bloquearles el acceso al servicio.

"Otra nueva característica observada en las muestras de Ducktail desde (al menos) julio de 2023 es el uso de RestartManager (RM) para matar procesos que bloquean bases de datos de navegadores", dijo WithSecure. "Esta capacidad a menudo se encuentra en el ransomware, ya que los archivos que están en uso por procesos o servicios no pueden ser cifrados".

Además, la carga final está oscurecida mediante un cargador para descifrarla y ejecutarla dinámicamente en tiempo de ejecución en lo que se ve como un intento de incorporar técnicas destinadas a aumentar la complejidad del análisis y la evasión de la detección.

Algunos de los otros métodos adoptados por el actor de amenazas para dificultar el análisis abarcan el uso de nombres de ensamblaje generados de forma única y la dependencia de SmartAssembly, hinchazón y compresión para ofuscar el malware.

Zscaler dijo que detectó casos en los que el grupo inició contacto a través de cuentas de LinkedIn comprometidas que pertenecían a usuarios que trabajaban en el espacio de marketing digital, algunos de los cuales tenían más de 500 conexiones y 1,000 seguidores.

"La gran cantidad de conexiones/seguidores ayudó a dar autenticidad a las cuentas comprometidas y facilitó el proceso de ingeniería social para los actores de amenazas", dijeron los investigadores.

Esto también destaca la propagación similar a un gusano de Ducktail, donde las credenciales y cookies de LinkedIn robadas de un usuario que fue víctima del ataque de malware se utilizan para iniciar sesión en sus cuentas y contactar con otros objetivos y ampliar su alcance.

Ducktail se dice que es uno de los muchos actores de amenazas vietnamitas que están utilizando herramientas y tácticas compartidas para llevar a cabo tales esquemas fraudulentos. Esto también incluye un imitador de Ducktail llamado Duckport, que ha estado activo desde finales de marzo de 2023 y realiza robos de información junto con el secuestro de cuentas comerciales de Meta.

Cabe señalar que la campaña que Zscaler está rastreando como Ducktail es, de hecho, Duckport, que, según WithSecure, es una amenaza separada debido a las diferencias en los canales de Telegram utilizados para C2, la implementación del código fuente y el hecho de que ambas cepas nunca han sido distribuidas juntas.

"Mientras que Ducktail ha jugueteado con el uso de sitios web de marcas falsas como parte de sus esfuerzos de ingeniería social, ha sido una técnica común para Duckport", dijo WithSecure.

"En lugar de proporcionar enlaces de descarga directa a servicios de alojamiento de archivos como Dropbox (lo que podría generar sospechas), Duckport envía a las víctimas enlaces a sitios de marcas que están relacionados con la marca/empresa que están suplantando, que luego los redirige para descargar el archivo malicioso de servicios de alojamiento de archivos (como Dropbox)".

Duckport, aunque basado en Ducktail, también viene con características novedosas que amplían las capacidades de robo de información y secuestro de cuentas, y también toma capturas de pantalla o abusa de los servicios de toma de notas en línea como parte de su cadena C2, reemplazando esencialmente a Telegram como un canal para pasar comandos a la máquina de la víctima.

"El elemento centrado en Vietnam de estas amenazas y el alto grado de superposición en términos de capacidades, infraestructura y victimología sugiere relaciones de trabajo activas entre varios actores de amenazas, herramientas y TTP compartidos en estos grupos de amenazas, o un ecosistema de ciberdelincuencia vietnamita fracturado y orientado al servicio (similar al modelo de ransomware como servicio) centrado en plataformas de redes sociales como Facebook", dijo WithSecure.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más