In base al report di Check Point Software, LinkedIn è il target preferito per gli attacchi di phishing. Stavolta però sono stati colpiti direttamente gli utenti del social network professionale. I ricercatori di WithSecure hanno scoperto una campagna di spear phishing contro dipendenti aziendali che gestiscono gli account Business e Ads di Facebook.
Ducktail accede agli account Facebook Business
I cybercriminali (vietnamiti secondo WithSecure) scelgono accuratamente le vittime dopo aver letto i loro ruoli all’interno dell’azienda. La preferenza è per i dipendenti che gestiscono gli account Facebook Business con privilegi di amministratore. I target vengono quindi contattati e convinti a scaricare un file da un noto servizio di cloud storage, come Dropbox o iCloud.
Si tratta di un archivio che contiene immagini JPG e un eseguibile che sembra un documento PDF. L’eseguibile è in realtà il malware Ducktail, scritto in .NET Core, che include tutte le dipendenze (librerie) e quindi può essere avviato su ogni computer, anche quelli senza .NET Runtime.
Oltre a raccogliere varie informazioni sul sistema, Ducktail legge i cookie di Chrome, Edge, Firefox e Brave per trovare i cookie di sessione di Facebook. Vengono quindi rubati numerosi dati dall’account personale e da quelli aziendali gestiti dal dipendente, tra cui nome, email, data di nascita, ruolo, elenco dei clienti e spese per advertising.
I dati vengono successivamente inviati al server remoto tramite un bot di Telegram. I cybercriminali tentano anche di prendere il controllo dell’account Facebook Business, in modo da sostituire i dati finanziari dell’azienda e ricevere i guadagni sui loro conti.