Detección de Ducktail Infostealer: Hackers Criminales Secuestran Cuentas de Negocios con Nuevo Malware

Hackers criminales motivados financieramente aprovechan un nuevo infostealer llamado Ducktail para extraer cookies de navegador y tomar control de las cuentas Business de Facebook de las víctimas. La evidencia sugiere que los adversarios detrás de la campaña están basados en Vietnam, apuntando principalmente a profesionales que trabajan en recursos humanos, gestión y marketing. El inicio del desarrollo activo de la campaña Ducktail se puede rastrear hasta la segunda mitad de 2021.

Los adversarios propagan el malware a través de una campaña de spear phishing dirigida a sus víctimas en Linkedin.

Detección de la Campaña de Malware Ducktail

Para asegurar que su sistema no sea un blanco fácil para infostealers como Ducktail, use una regla Sigma publicada por el experimentado colaborador de contenido Aytek Aytemur:

Nuevo Infostealer Malware Ducktail (vía process_creation)

La detección tiene traducciones para 24 plataformas SIEM, EDR y XDR. La regla está alineada con el marco MITRE ATT&CK® v.10, abordando las tácticas de Evasión de Defensa, Ejecución y Comando y Control con Inyección de Procesos (T1055), Ejecución por Usuario (T1204) y Servicio Web (T1102) como técnicas principales.

Tanto los cazadores de amenazas experimentados como los aspirantes son bienvenidos a compartir su contenido basado en Sigma uniéndose al Programa de Recompensa de Amenazas de SOC Prime para orientación profesional e ingresos estables.

Siga las actualizaciones de contenido de detección dirigidas a compromisos de malware infostealer en el repositorio del Mercado de Detección de Amenazas de la Plataforma SOC Prime para mantenerse bien informado sobre amenazas emergentes: el botón Ver Detecciones lo llevará a la vasta biblioteca de reglas traducidas a 26+ soluciones SIEM, EDR, XDR. Navegue por un motor de búsqueda líder en la industria para Caza de Amenazas, Detección de Amenazas e Inteligencia de Ciberamenazas para acceder instantáneamente a reglas Sigma relevantes acompañadas de metadatos contextuales, incluidas referencias de MITRE ATT&CK y CTI, descripciones de CVE, binarios ejecutables vinculados a detecciones y más haciendo clic en el botón Explorar Contexto de Amenaza .

Detectar y Cazar Explorar Contexto de Amenaza

Análisis de Ducktail

La campaña de malware llamada Ducktail fue detallada por analistas de WithSecure. Basándose en los ataques observados, los operadores de Ducktail apuntan a usuarios corporativos con acceso administrativo a la plataforma Business y Ads de Facebook, atrayéndolos a descargar información falsa de publicidad de Facebook alojada en Dropbox, Apple iCloud y MediaFire. Hay casos de los actores de amenaza detrás de la campaña Ducktail propagando malware a través de Linkedin enviando archivos de archivo armados. Los ataques son de amplio alcance, dirigidos a víctimas en diferentes sectores industriales a nivel mundial.

El malware infostealer Ducktail está escrito en .NET Core. Los adversarios usan Telegram para la comunicación de comando y control y la exfiltración de datos. Cuando la víctima ejecuta el malware, escanea los navegadores instalados en el dispositivo comprometido para extraer cookies almacenadas y todos los datos relevantes relacionados con Facebook. El malware también ejecuta un bucle infinito en segundo plano que establece un proceso continuo de exfiltración.

En la moderna carrera armamentista cibernética, una respuesta oportuna a los ataques lanzados por hackers criminales puede salvar a su empresa de un grave revés financiero y reputacional. Únase a SOC Prime para mejorar sus defensas y transformar la Detección de Amenazas con el poder de la experiencia colectiva en ciberseguridad.