È in corso una nuova campagna di phishing con nome in codice Ducktail, rivolta ai professionisti su LinkedIn per rilevare gli account aziendali di Facebook che gestiscono la pubblicità per la società. Questo attacco è particolarmente mirato, in quanto va a colpire precisamente gli utenti che hanno privilegi di amministratore sui loro profili social. In questo modo, una volta violati, è possibile eseguire qualunque operazione sull’account.
Il primo passo è quello di individuare gli impiegati su LinkedIn che possiedono un profilo Facebook aziendale, magari che lavorano come Social Media Manager oppure nel settore Marketing di un’azienda specifica. A questo punto avviene quello che si definisce social engineering, ossia quel processo che prevede l’ottenimento di informazioni personali tramite delle semplici conversazioni con la vittima. In questo caso in particolare, l’attaccante invia all’utente un archivio tramite Dropbox contenente delle semplici immagini JPEG inerenti alla conversazione e un eseguibile camuffato da documento PDF.
Questo file è in realtà un malware .NET Core che contiene tutte le dipendenze richieste, permettendogli di essere eseguito su qualsiasi computer, anche quelli senza il .NET Framework installato. Una volta eseguito, il malware esegue la scansione dei cookie del browser su Chrome, Edge, Brave e Firefox, raccoglie informazioni di sistema e alla fine prende di mira le credenziali di Facebook. Le richieste ai server di Facebook risultano autentiche in quanto vanno a sfruttare proprio le variabili di sessione dell’utente stesso e quindi non vengono bloccate in alcun modo.
Le informazioni rubate includono i cookie, l’indirizzo IP, le informazioni sull’account (nome, e-mail, compleanno, ID utente), i codici 2FA e i dati di geolocalizzazione, consentendo essenzialmente all’autore della minaccia di mantenere l’accesso dalla propria macchina. I dettagli specifici dell’azienda rubati dall’account compromesso includono lo stato di verifica, il limite pubblicitario, l’elenco utenti, l’elenco clienti, l’ID, la valuta, il ciclo di pagamento, l’importo speso e l’adtrust DSL (limite di spesa dinamico). I dati vengono infine esfiltrati tramite i bot di Telegram in periodi prestabiliti, quando gli account Facebook vengono rubati, il processo del malware viene terminato o quando il malware si blocca.
Ma non è finita qui, in quanto oltre al furto di tutte le informazioni, l’account business della vittima viene dirottato tramite l’email dell’attaccante, impostando quindi nuovi privilegi che gli permettono di avere il controllo completo del profilo. In questo modo, come è facile prevedere, il malvivente sarà in grado di impostare un nuovo metodo di pagamento e dirottare i guadagni dalle inserzioni verso un altro profilo. Il motivo di questo attacco è puramente economico, andando a danneggiare quei profili aziendali con un certo bacino d’utenza, in grado quindi di coprire un pubblico ampio e avere dunque ampio margine di successo.