[24/11/2022] Un grupo de atacantes, probablemente con sede en Vietnam, especializado en atacar a empleados con posible acceso a las cuentas de gestión de empresas y anuncios de Facebook, ha reaparecido con cambios en su infraestructura, su malware y su modus operandi después de haber sido descubierto hace unos meses.
Apodado DUCKTAIL por los investigadores de WithSecure, el grupo utiliza el spear phishing para dirigirse a personas en LinkedIn que tienen descripciones de trabajo que podrían sugerir que tienen acceso a la gestión de cuentas de negocios de Facebook. Más recientemente, se ha observado que los atacantes también se dirigen a las víctimas a través de WhatsApp. Las cuentas empresariales de Facebook comprometidas se utilizan para publicar anuncios en la plataforma para obtener beneficios económicos.
Los atacantes de DUCKTAIL hacen su investigación
El abuso de la cuenta se logra utilizando el navegador de la víctima a través de un programa de malware entregado bajo la apariencia de documentos relacionados con marcas, productos y planificación de proyectos. Los atacantes primero elaboran una lista de empresas que tienen páginas de negocios en Facebook. A continuación, buscan empleados en LinkedIn y otras fuentes que trabajen para esas empresas y tengan títulos de trabajo que puedan proporcionarles acceso a esas páginas empresariales. Entre estos puestos se encuentran los de dirección, marketing digital, medios digitales y recursos humanos.
El último paso es enviarles un enlace con un archivo que contiene el malware enmascarado como un .pdf, junto con imágenes y videos que parecen formar parte del mismo proyecto. Algunos de los nombres de archivos vistos por los investigadores incluyen "plan de desarrollo", "información del proyecto", "productos" y "plan de negocio del nuevo proyecto de L'Oréal". Algunos de los archivos incluían nombres de países, lo que sugiere que los atacantes los personalizaron para cada víctima y país basándose en su reconocimiento. Las víctimas identificadas estaban repartidas por todo el mundo, por lo que los atacantes no tienen como objetivo una región concreta.
Se cree que el grupo DUCKTAIL ha estado operando esta campaña desde la segunda mitad del 2021. Después de que WithSecure expusiera su operación en agosto de este año, la operación se detuvo y los atacantes reelaboraron parte de su conjunto de herramientas.
Los atacantes cambian a GlobalSign como autoridad certificadora
Las muestras de malware analizadas a principios de este año estaban firmadas digitalmente con un certificado de firma de código legítimo obtenido de Sectigo a nombre de una empresa vietnamita. Desde que ese certificado ha sido denunciado y revocado, los atacantes han cambiado a GlobalSign como autoridad de certificación. Aunque siguieron solicitando certificados a varias CA a nombre de la empresa original, también han creado otras seis empresas, todas en vietnamita, y han obtenido certificados de firma de código utilizando tres de ellas. Los certificados de firma de código requieren una validación ampliada (EV) en la que se verifica la identidad del solicitante mediante varios documentos.
"En el momento de redactar este informe, el actor de la amenaza se ha adaptado a las revocaciones de certificados utilizando el sellado de tiempo como método de refrendo a través de DigiCert", afirman los investigadores de WithSecure en un nuevo informe publicado esta semana.
Las muestras de malware DUCKTAIL vistas a finales del 2021 estaban escritas en .NET Core y se compilaron utilizando la función de archivo único del marco, que agrupa todas las bibliotecas y archivos necesarios en un único archivo ejecutable, incluido el ensamblaje principal. Esto garantiza que el malware pueda ejecutarse en cualquier computadora con Windows, independientemente de si tiene instalado el tiempo de ejecución de .NET o no. Desde agosto del 2022, cuando se detuvo la campaña, los investigadores de WithSecure observaron múltiples muestras de desarrollo de DUCKTAIL subidas a VirusTotal desde Vietnam.
Una de las muestras se compiló utilizando el NativeAOT de .NET 7, que proporciona capacidades similares a la función de archivo único de .NET Core, permitiendo que los binarios se compilen de forma nativa por adelantado. Sin embargo, NativeAOT tiene un soporte limitado para las bibliotecas de terceros, por lo que los atacantes volvieron a utilizar .NET Core.
Los malos actores han estado experimentando
También se observaron otros experimentos, como la inclusión de código antianálisis de un proyecto de GitHub que nunca se activó, la capacidad de enviar una lista de direcciones de correo electrónico como un archivo .txt desde el servidor de comando y control en lugar de codificarlas en el malware, y el lanzamiento de un archivo ficticio cuando se ejecuta el malware para que el usuario no sospeche: se observaron archivos ficticios de documentos (.docx), hojas de cálculo (.xlsx) y vídeos (.mp4).
Los atacantes también están probando cargadores de varias etapas para desplegar el malware, como un archivo de complemento de Excel (.xll), que extrae un cargador secundario de un blob cifrado y finalmente descarga el malware infostealer. Los investigadores también identificaron un descargador escrito en .NET que asocian con alta confianza a DUCKTAIL, que ejecuta un comando PowerShell que descarga el infostealer desde Discord.
El malware infostealer utiliza los canales de Telegram para el comando y control. Los atacantes han bloqueado mejor estos canales desde que salieron a la luz en agosto y algunos canales ahora tienen múltiples administradores, lo que podría sugerir que están ejecutando un programa de afiliados similar a las bandas de ransomware. "Esto se ve reforzado por el aumento de la actividad en el chat y el nuevo mecanismo de encriptación de archivos que asegura que sólo ciertos usuarios podrán descifrar ciertos archivos exfiltrados", señalaron los investigadores.
Secuestro del navegador
Una vez desplegado, el malware DUCKTAIL escanea los navegadores instalados en el sistema y la ruta de acceso a su almacenamiento de cookies. A continuación, roba todas las cookies almacenadas, incluidas las de sesión de Facebook. Una cookie de sesión es un pequeño identificador establecido por un sitio web dentro de un navegador después de que la autenticación se haya completado con éxito para recordar que el usuario ha estado conectado durante un período de tiempo.
El malware utiliza la cookie de sesión de Facebook para interactuar con las páginas de Facebook directamente o para enviar solicitudes a la API de Facebook Graph para obtener información. Esta información incluye el nombre, el correo electrónico, la fecha de nacimiento y el ID de usuario de las cuentas personales; el nombre, el estado de verificación, el límite de anuncios, los usuarios pendientes y los clientes de las páginas de empresa de Facebook a las que tienen acceso las cuentas personales; el nombre, el ID, el estado de la cuenta, el ciclo de pago de los anuncios, la moneda, el DSL de adtrust y el importe gastado de cualquier cuenta de Facebook Ads asociada.
El malware también comprueba si la autenticación de dos factores está activada para las cuentas secuestradas y utiliza la sesión activa para obtener códigos de respaldo para la 2FA cuando está activada. "La información robada de la máquina de la víctima también permite al actor de la amenaza intentar estas actividades (así como otras actividades maliciosas) desde fuera de la máquina de la víctima", sostuvieron los investigadores. "La información como las cookies de sesión robadas, los tokens de acceso, los códigos 2FA, los agentes de usuario, la dirección IP y la geolocalización, así como la información general de la cuenta (como el nombre y la fecha de nacimiento) podría utilizarse para camuflar y suplantar a la víctima".
El malware intenta añadir direcciones de correo electrónico controladas por los atacantes a las cuentas empresariales de Facebook secuestradas con los roles más altos posibles: administrador y editor de finanzas. Según la documentación del propietario de Facebook, Meta, los administradores tienen el control total de la cuenta, mientras que los editores de finanzas tienen el control de la información de las tarjetas de crédito almacenadas en la cuenta, así como de las transacciones, las facturas y los gastos en la cuenta. También pueden añadir empresas externas a las tarjetas de crédito almacenadas y a las facturas mensuales, permitiendo que esas empresas utilicen el mismo método de pago.
Suplantación de identidades legítimas de gestores de cuentas
"En los casos en los que las víctimas objetivo no tenían suficiente acceso para permitir que el malware añadiera las direcciones de correo electrónico del actor de la amenaza en las cuentas de negocios previstas, el actor de la amenaza se basó en la información que se exfiltró de las máquinas de las víctimas y las cuentas de Facebook para hacerse pasar por ellos y lograr sus objetivos posteriores al compromiso a través de la actividad práctica", dijeron los investigadores en su nuevo informe.
En uno de los casos que investigó el equipo de respuesta a incidentes de WithSecure, la víctima utilizaba una máquina Apple y nunca había iniciado sesión en Facebook desde una computadora Windows. No se encontró malware en el sistema y no se pudo determinar el vector de acceso inicial. No está claro si esto estaba relacionado con DUCKTAIL, pero los investigadores establecieron que los atacantes también eran de Vietnam.
Se aconseja a los administradores de Facebook Business que revisen regularmente los usuarios añadidos en Business Manager > Configuración > Personas y que revoquen el acceso a cualquier usuario desconocido al que se le haya concedido acceso de administrador o funciones de editor de finanzas.
"A través de nuestras investigaciones, el equipo de WithSecure Incident Response encontró que los registros del historial empresarial y los datos de Facebook de los individuos atacados eran relevantes para el análisis del incidente", anotaron los investigadores. "Sin embargo, en el caso de los registros relacionados con la cuenta de Facebook del individuo, las incoherencias están ampliamente presentes entre lo que es visible en el portal web en comparación con lo que se obtendría si se descargara una copia de sus datos". Como recomendación a otros investigadores, el equipo de WithSecure Incident Response recomienda encarecidamente capturar una copia local de los registros del historial de la empresa tan pronto como sea posible y solicitar una copia de los datos del usuario para su cuenta.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú