Uma operação de cibercrime com sede no Vietnã chamada Ducktail está continuamente evoluindo e expandindo suas operações contra indivíduos e empresas que operam na plataforma de Anúncios e Negócios do Facebook.
As mudanças recentes
Pesquisadores da WithSecure publicaram um comunicado sobre novos desenvolvimentos do infostealer Ducktail. As campanhas recentes apresentam novos truques para spear-phish alvos via WhatsApp.
- Desde o início de setembro, os invasores estavam usando uma nova variante de malware compilada usando o recurso .NET 7 NativeAOT, mas com base na mesma base de código de antes.
- Em outubro, os invasores voltaram para binários independentes do Windows do .NET Core 3 que contêm código anti-análise copiado do GitHub para evitar a detecção. Ele possui um método mais robusto para obter endereços de e-mail controlados pelo invasor de seu servidor C2.
- Os desenvolvedores tornaram o malware mais legítimo ao lançar arquivos fictícios para ocultar sua intenção maliciosa, como um documento, planilha ou vídeo. Além disso, os operadores aumentaram relativamente o tamanho da equipe operacional.
Aprimoramentos adicionais
Os pesquisadores identificaram várias variantes de vários estágios do Ducktail, incluindo um arquivo de suplemento do Excel (.xll) e um downloader do .NET. Essas variantes fornecem o principal ladrão de informações como uma carga útil final.
- Os invasores estão assinando o malware com certificados EV (validação estendida) para evitar a detecção e alterando esses certificados no meio da campanha depois que eles foram revogados.
- O grupo criou empresas falsas no Vietnã para desenvolvimento de recursos e expansão operacional. Para os certificados de assinatura de código, sete dessas empresas foram identificadas, até o momento.
- O grupo está usando o Telegram para fins C2, no entanto, associou várias contas de administrador aos canais do Telegram para integrar afiliados à operação.
Táticas de ataque
- Os pesquisadores observaram alguns incidentes em que as vítimas foram alvo de arquivos usando o WhatsApp. O vetor inicial para as campanhas não pode ser determinado devido a evidências insuficientes.
- No entanto, quando os invasores não conseguem adicionar seu endereço de e-mail à conta comercial pretendida do Facebook devido à falta de permissões suficientes, eles coletaram informações suficientes para se passar pela vítima e alcançar seu objetivo por meio de atividades práticas.
O grupo é motivado financeiramente e causou perdas que variam entre US $ 100.000 e US $ 600.000, dependendo da vítima.
Conclusão
A Ducktail vem adotando métodos avançados e contínuos de evasão de defesa, alterando o formato de arquivo, a compilação e os certificados de contra-assinatura. Com o aumento da atividade, novos afiliados e empresas falsas, pode causar danos financeiros e de reputação substanciais no futuro previsível. Os pesquisadores recomendam que as organizações garantam que seus funcionários tenham contas separadas para fins pessoais e comerciais.
Fonte: Cyware
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
