Ciberdelincuentes pueden robar sus credenciales del navegador web

ConSecure Labs, los investigadores descubrieron una operación cibernética llamada Ducktail en julio de 2022, donde los actores de amenazas emplearon malware de robo de información para apuntar específicamente a profesionales de marketing y recursos humanos con campañas de phishing selectivo a través de mensajes directos de LinkedIn , centrándose en individuos y empleados con acceso potencial al negocio de Facebook.

La campaña Ducktail puede comprometer las cuentas comerciales de Facebook y hacer un mal uso de la función de anuncios para publicidad maliciosa. Si bien, junto con Facebook, LinkedIn ahora también es un objetivo activo de los actores de amenazas para actividades delictivas cibernéticas.

En marzo de 2023, el equipo Managed XDR de Trend Micro encontró un archivo que recopila datos de usuario y se conecta a los dominios de Facebook y Telegram durante su investigación de incidentes relacionados con Ducktail.

Cómo los atacantes engañan a la víctima

El nombre del archivo de muestra, que hace referencia a una oferta de trabajo de director de marketing, aparece específicamente diseñado para atraer a profesionales de marketing al insinuar una posición de liderazgo más alta.

Aunque el método exacto de entrega de estos enlaces al objetivo es incierto, el uso histórico de los mensajes de LinkedIn por parte de Ducktail lo sugiere como un medio potencial.

Los expertos determinaron el contenido y la fuente del archivo al examinar el nombre del archivo y, al investigar el dominio, descubrieron que el archivo malicioso estaba alojado en el servicio iCloud de Apple , aunque la URL actualmente está inactiva.

Al analizar los procesos creados, los investigadores de seguridad identificaron tres, incluidos procesos separados para Microsoft Edge y Google Chrome, que recopilan las direcciones IP y los datos de geolocalización de las víctimas .

A continuación, hemos mencionado los argumentos que se utilizan en estos procesos:

• –headless
• –disable-gpu
• –disable-logging
• –dump-dom

El último proceso se usa para abrir un archivo PDF, y los detalles completos sobre el trabajo falso están incrustados dentro de este PDF.

El malware opera extrayendo las credenciales del navegador y adquiriendo información relacionada con Facebook. Al mismo tiempo, las víctimas leen el archivo PDF generado y lo almacenan en un archivo de texto temporal antes de filtrarlo usando Telegram cada 10 minutos.

Debido al uso frecuente de señuelos de ingeniería social por parte de los actores de amenazas contemporáneos, tanto las personas como las organizaciones deben tener cuidado al abrir enlaces o descargar archivos de fuentes desconocidas, independientemente de si se entregan a través de plataformas de redes sociales de renombre o medios como:

• LinkedIn
• Facebook
• Correo electrónico

Recomendaciones de seguridad

A continuación, mencionamos todas las mejores prácticas de seguridad que podrían ayudar a los usuarios a mitigar los ataques de phishing selectivo:

• Tenga cuidado con los correos electrónicos inesperados; tenga cuidado.
• Siempre verifique la identidad del remitente antes de abrir archivos adjuntos de fuentes desconocidas.
• Evite enlaces sospechosos, especialmente de fuentes desconocidas o sospechosas.
• Educar a los empleados sobre el phishing selectivo para reconocerlo y evitarlo.
• Habilite la autenticación multifactor para mayor seguridad.