Cualquier sitio puede ser ideal para que los ciberdelincuentes puedan desarrollar sus acciones maliciosas para tener acceso a cuentas sin el permiso de su propietario. El último caso se ha dado en la plataforma LinkedIn con una campaña de phishing con el nombre en código Ducktail que está dirigida a los profesionales para tener acceso a las cuentas comerciales de Facebook que pueden estar administrando.
El descubrimiento de esta nueva campaña viene de la mano de WithSecure, y apuntan a que es un ataque dirigido. Esto quiere decir que los atacantes tratan de elegir muy bien las víctimas para poder encontrar aquellos perfiles que tienen el rol de administrador en las cuentas de Facebook de las empresas donde están trabajando en ese momento.
Pese a que esta campaña se ha podido describir de manera reciente, lo cierto es que ha estado en marcha mínimo un año y se podía alargar hasta cuatro años atrás en un estado realmente latente. Además, se apunta a que el actor de estas amenazas estarían puestas en un vietnamita que habría recopilado datos de manera remota desde el año 2018.
Cómo actúan los actores de esta campaña de phishing
Su modus operandi es realmente simple. El atacante se comunica directamente con empleados que ha seleccionado previamente en LinkedIn gracias a los perfiles que se ajusten a administradores de Facebook. Esto es algo relativamente sencillo, ya que normalmente entre la experiencia que se especifica en los perfiles se detalla si se tiene un recorrido como gestor de páginas en redes sociales.
Durante estas conversaciones, los atacantes utilizan tanto ingeniería social y el engaño para que los usuarios descarguen un archivo que parece completamente legítimo. Esto se debe a que están alojados en servicios de nube conocidos por todos como por ejemplo iCloud Drive o Dropbox.
Pero lo que de verdad se estará descargando, y ejecutando, será un malware que rastreará en las cookies de cualquier navegador en busca de la información de inicio de sesión de Facebook. Y no se requerirá que se otorgue una autentificación de doble factor, ya que las solicitudes al realizarse desde estos mismos navegadores de confianza se va a tener acceso libre a la cuenta para terminar secuestrándola. En este caso, la información sustraída incluye nombre, correo electrónico, ID de usuario, códigos 2FA, datos de geolocalización, lista de clientes o también de usuarios.
Toda esta información se envía a través de diferentes bots en Telegram para poder gestionarlo en servidores externos, pero no se queda aquí el malware. Antes de desaparecer por completo, agrega en la página de Facebook el correo electrónico del actor de la amenaza para poder tener acceso completo a ella y reemplazar datos financieros para redirigir los beneficios a sus cuentas.
Todo esto hace que en cualquier tipo de plataforma se deban tomar las máximas medidas de seguridad para evitar cualquier tipo de susto. En ningún caso debes descargar archivos que no hayas solicitado o de desconocidos, aunque estén alojados en servidores de confianza.
Vía | BleepingComputer
Fuente info
Autor: