Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El nuevo malware Ducktail se dirige a cuentas de Facebook para robar datos
25 de octubre de 2022 - Equipo de Relaciones Públicas de TuxCare
Los atacantes están utilizando un malware de Windows llamado Ducktail para robar cuentas de Facebook, datos de navegación y monederos de criptomonedas.
Ducktail está asociado con hackers vietnamitas y se basa principalmente en ataques de ingeniería social a través de LinkedIn, propagando malware .NET Core enmascarado como un documento PDF que supuestamente contiene detalles sobre un proyecto de marketing.
Según los investigadores, la mayoría de los cebos falsificados para la campaña están relacionados con juegos, subtítulos, vídeos para adultos y aplicaciones de MS Office crackeadas que se cuelgan en formato ZIP en servicios legítimos.
Ducktail está escrito en PHP y fue descubierto por primera vez en julio de 2022 por investigadores de WithSecure. Para la nueva cepa, Ducktail ha sustituido el antiguo malware de robo de información .NET Core utilizado en campañas anteriores por otro escrito en PHP.
En la cadena de infecciones de Ducktail, la instalación posterior a la ejecución tiene lugar en segundo plano, mientras la víctima ve falsas ventanas emergentes de "Comprobación de compatibilidad de aplicaciones" en el frontend, a la espera de que se instale una aplicación falsa enviada por los estafadores.
Después, el malware se extrae a la carpeta %LocalAppData%\PXT, que contiene el intérprete local PHP.exe, varios scripts de robo de información y herramientas de apoyo.
Aunque los datos objetivo incluyen amplia información de cuentas de Facebook, datos sensibles almacenados en navegadores, cookies de navegadores, monederos de criptomonedas e información de cuentas y datos básicos del sistema, la información recopilada no se exfiltra a Telegram, sino que se almacena en un sitio web JSON que también almacena marcas de cuentas y datos necesarios para el fraude en el dispositivo.
En los últimos ataques, Ducktail amplió el objetivo para incluir a los usuarios habituales de Facebook y capturar toda la información valiosa que tienen almacenada en sus cuentas.
Si la cuenta es de empresa, el malware intenta obtener información adicional sobre métodos de pago, ciclos, importes gastados, datos del propietario, estado de verificación, páginas de propiedad, dirección de PayPal y mucho más.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
