il-malware-ducktail-rivela-nuove-terrificanti-capacita-|-sicurezza.net

Il malware Ducktail rivela nuove terrificanti capacità | sicurezza.net

Il malware Ducktail è tra i più pericolosi attualmente attivi, specialmente a causa del proprio posizionamento, come le inserzioni sui social. Oggi emergono nuove funzioni da brividi.

Qual è lo scopo di Ducktail?

Gli operatori di Ducktail hanno dimostrato una volontà implacabile di mantenere attivo il proprio malware come parte di una campagna finanziaria più grande in corso.

Il malware è progettato per rubare i cookie del browser e sfruttare le sessioni di Facebook per rubare le informazioni personali dell’utente” ha affermato Mohammad Kazem Hassan Nejad, ricercatore di WithSecure.

Secondo Nejad “lo scopo dell’operazione è dirottare gli account aziendali di Facebook a cui la vittima ha sufficiente accesso. L’attore della minaccia sfrutta l’accesso ottenuto per pubblicare annunci a scopo di lucro”.

“La ricerca condotta dalla società di sicurezza informatica Trustwave indica che in Vietnam sono circa 800 le organizzazioni prese di mira dal gruppo”.

Inoltre, Facebook sta studiando come fermare gli spammer, comprese le persone che probabilmente hanno accesso ad alto livello agli account Facebook Business. Tra questi, il personale addetto al marketing, ai media e alle risorse umane.

Da dove nasce il malware Ducktail

L’attività dannosa è stata osservata per la prima volta da una società di cybersicurezza finlandese nel luglio 2022 – ve ne avevamo già parlato in un nostro articolo sulle nuove campagne di Phishing su LinkedIn. L’attività è in corso da almeno due anni, anche se le prove indicano che l’attore della minaccia era attivo già dalla fine del 2018.

Successivamente, una società di sicurezza, Zscaler ThreatLabz, ha scoperto una versione PHP del malware.

Tuttavia, afferma che non vi è alcun collegamento tra l’attività e la campagna che segue con il nome di Ducktail. L’ultima variante del malware, che è riemersa il 6 settembre 2022, dopo che l’attore delle minacce è stato costretto a interrompere le sue operazioni il 12 agosto in risposta alla divulgazione pubblica, è dotata di una serie di miglioramenti incorporati per eludere il rilevamento.

Le catene di infezione iniziano ora con la consegna di file di archivio contenenti fogli di calcolo ospitati su Apple iCloud e Discord attraverso piattaforme come LinkedIn e WhatsApp, indicando una diversificazione delle tattiche di spear-phishing dei malintenzionati alle spalle di Ducktail.

Il malware trovato negli account Facebook, firmato con certificati ottenuti sotto le spoglie di sette diverse aziende fasulle, viene esportato utilizzando Telegram.

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *