Los  ciberdelincuentes han puesto en la mira a los profesionales del marketing digital y recursos humanos, en un esfuerzo por secuestrar las cuentas de Facebook Business utilizando un malware de robo de datos recientemente descubierto.

Los investigadores de WithSecure, descubrieron esta amenaza que la bautizaron como Ducktail. La evidencia sugiere que usuario vietnamita ha estado desarrollando y distribuyendo el malware desde la segunda mitad de 2021. La firma agregó que los motivos de las operaciones parecen ser puramente financieras.

¿Cómo funciona?

1. El atacante primero explora los objetivos a través de LinkedIn, donde selecciona a los empleados que probablemente tengan un acceso de alto nivel a las cuentas de Facebook Business, en particular aquellos con el nivel más alto de acceso. Los operadores de Ducktail seleccionan cuidadosamente una pequeña cantidad de objetivos para aumentar sus posibilidades de éxito y pasar desapercibidos. Personas con funciones gerenciales, de marketing digital, de medios digitales y de recursos humanos en empresas han sido atacadas.
2. Luego, mediante técnicas de ingeniería social, logran convencer a los objetivos, de que descarguen un archivo alojado en un servidor de nube legítimo, como Dropbox o iCloud. Si bien el archivo presenta palabras clave relacionadas con marcas, productos y planificación de proyectos en un intento de parecer legítimo, contiene malware para robar datos que, según WithSecure, es el primer malware que han visto diseñado específicamente para secuestrar cuentas comerciales de Facebook.
3. Una vez instalado en el sistema de la víctima, el malware Ducktail roba las cookies del navegador y secuestra las sesiones autenticadas de Facebook para robar información de la cuenta de Facebook de la víctima, incluida la información de la cuenta, los datos de ubicación y los códigos de autenticación de dos factores.

El malware también permite secuestrar cualquier cuenta comercial de Facebook a la que la víctima tenga suficiente acceso simplemente agregando su dirección de correo electrónico a la cuenta comprometida, lo que hace que Facebook envíe un enlace, por correo electrónico, a la misma dirección de correo electrónico.

El destinatario, en este caso, el atacante, interactúa con el enlace enviado por correo electrónico para obtener acceso a esa cuenta de Facebook. Este mecanismo representa el proceso estándar utilizado para otorgar a las personas acceso a una empresa de Facebook y, por lo tanto, elude las funciones de seguridad implementadas por Meta para proteger contra dicho abuso.

Luego, los atacantes aprovechan sus nuevos privilegios para reemplazar los detalles financieros establecidos de la cuenta para dirigir los pagos a sus cuentas o ejecutar campañas de anuncios de Facebook con dinero de las empresas de las víctimas.

WithSecure, que compartió su investigación con Meta, dijo que “no pudo determinar el éxito o la falta de él” de la campaña Ducktail y no pudo decir cuántos usuarios se vieron potencialmente afectados, pero señaló que no ha visto un patrón regional. Las victimas potenciales de Ducktail parecen estar repartidas por Europa, Oriente Medio, África y América del Norte.

Que podemos hacer al respecto

Las recomendaciones generales, y que probablemente la haz escuchad y leído miles de veces es no hacer clic en enlaces en mensajes de correo electrónico de personas que no conoces. No descargues programas que vengan de fuentes desconocidas.

La ingeniería social es una técnica muy utilizada para persuadir a los seres humanos a realizar determinadas acciones explotando ciertas vulnerabilidades sociales. Por muy tentador que parezca una oferta de un producto o servicio no instales nunca ningun programa que prometa resolver un problema de forma milagrosa o a costo cero.

Sospecha particularmente de todos aquellos anuncios que prometen una solución rápida o gratis, y sobre todo de aquellos que te generen angustia o alarma de que debas tomar una acción inmediata.

Si tienes un amigo de esos que se las sabe todas en informática consúltale primero y sobre todo mantente al día con esta clase de noticias para que estés debidamente informado y sepas como responder en el momento.

Nota: La imagen de la publicación de genero utilizando IA.