Ducktail: campagna di spear phishing per LinkedIn

Ducktail: campagna di spear phishing per LinkedIn

Ducktail è un malware che permette di rubare i dati degli account Facebook gestiti dai dipendenti aziendali con privilegi di amministratore.
Ducktail è un malware che permette di rubare i dati degli account Facebook gestiti dai dipendenti aziendali con privilegi di amministratore.

In base al report di Check Point Software, LinkedIn è il target preferito per gli attacchi di phishing. Stavolta però sono stati colpiti direttamente gli utenti del social network professionale. I ricercatori di WithSecure hanno scoperto una campagna di spear phishing contro dipendenti aziendali che gestiscono gli account Business e Ads di Facebook.

Ducktail accede agli account Facebook Business

I cybercriminali (vietnamiti secondo WithSecure) scelgono accuratamente le vittime dopo aver letto i loro ruoli all’interno dell’azienda. La preferenza è per i dipendenti che gestiscono gli account Facebook Business con privilegi di amministratore. I target vengono quindi contattati e convinti a scaricare un file da un noto servizio di cloud storage, come Dropbox o iCloud.

Si tratta di un archivio che contiene immagini JPG e un eseguibile che sembra un documento PDF. L’eseguibile è in realtà il malware Ducktail, scritto in .NET Core, che include tutte le dipendenze (librerie) e quindi può essere avviato su ogni computer, anche quelli senza .NET Runtime.

Oltre a raccogliere varie informazioni sul sistema, Ducktail legge i cookie di Chrome, Edge, Firefox e Brave per trovare i cookie di sessione di Facebook. Vengono quindi rubati numerosi dati dall’account personale e da quelli aziendali gestiti dal dipendente, tra cui nome, email, data di nascita, ruolo, elenco dei clienti e spese per advertising.

I dati vengono successivamente inviati al server remoto tramite un bot di Telegram. I cybercriminali tentano anche di prendere il controllo dell’account Facebook Business, in modo da sostituire i dati finanziari dell’azienda e ricevere i guadagni sui loro conti.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 26 lug 2022
Link copiato negli appunti