Detecção do Ducktail Infostealer: Hackers Criminosos Sequestram Contas Empresariais com Novo Malware

Hackers criminosos motivados financeiramente estão utilizando um novo infostealer apelidado de Ducktail para exfiltrar cookies de navegadores e tomar controle das contas de Negócios do Facebook das vítimas. As evidências sugerem que os adversários por trás da campanha estão baseados no Vietnã, visando principalmente profissionais que trabalham em RH, gestão e marketing. O início do desenvolvimento ativo da campanha Ducktail pode ser rastreado até a segunda metade de 2021.

Os adversários propagam o malware por meio de uma campanha de spear phishing visando suas vítimas no Linkedin.

Detecção da Campanha de Malware Ducktail

Para garantir que seu sistema não seja um alvo fácil para infostealers como o Ducktail, use uma regra Sigma lançada pelo experiente colaborador de conteúdo Aytek Aytemur:

Novo Malware Infostealer Ducktail (via process_creation)

A detecção possui traduções para 24 plataformas SIEM, EDR & XDR. A regra está alinhada com o framework MITRE ATT&CK® v.10, abordando as táticas de Evasão de Defesa, Execução e Comando e Controle com as técnicas principais de Injeção de Processo (T1055), Execução de Usuário (T1204) e Serviço Web (T1102).

Tanto os caçadores de ameaças experientes quanto os aspirantes são bem-vindos a compartilhar seu conteúdo baseado em Sigma ao se juntarem ao Programa de Recompensas de Ameaças para orientação profissional e renda estável.

Acompanhe as atualizações do conteúdo de detecção abordando comprometimentos de malware infostealer no repositório do Threat Detection Marketplace da plataforma SOC Prime para se manter bem informado sobre ameaças emergentes – o botão Ver Detecções o levará para a vasta biblioteca de regras traduzidas para mais de 26 soluções SIEM, EDR, XDR. Navegue em um mecanismo de busca líder no setor para Caça às Ameaças, Detecção de Ameaças e Inteligência de Ciberameaças para acessar instantaneamente regras Sigma relevantes acompanhadas de metadados contextuais, incluindo referências MITRE ATT&CK e CTI, descrições de CVE, binários executáveis vinculados às detecções e mais clicando no botão Explorar Contexto da Ameaça .

Detectar & Caçar Explorar Contexto da Ameaça

Análise Ducktail

A campanha de malware apelidada de Ducktail foi detalhada por analistas da WithSecure. Com base nos ataques observados, os operadores do Ducktail visam usuários corporativos com acesso administrativo às plataformas de Negócios e Anúncios do Facebook, atraindo-os para baixar informações falsas de publicidade do Facebook hospedadas em Dropbox, Apple iCloud e MediaFire. Existem casos de atores de ameaça por trás da campanha Ducktail espalhando malware via Linkedin enviando arquivos de arquivo armados. Os ataques são abrangentes, visando vítimas em diferentes verticais da indústria globalmente.

O malware infostealer Ducktail é escrito em .NET Core. Os adversários usam o Telegram para comunicação de comando e controle e exfiltração de dados. Quando a vítima executa o malware, ele escaneia os navegadores instalados no dispositivo comprometido para exfiltrar cookies armazenados e todos os dados relevantes relacionados ao Facebook. O malware também executa um loop infinito em segundo plano que estabelece um processo de exfiltração contínuo.

Na corrida armamentista cibernética moderna, uma resposta oportuna aos ataques lançados por hackers criminosos pode salvar sua empresa de um retrocesso financeiro e reputacional grave. Junte-se à SOC Prime para aprimorar suas defesas e transformar a Detecção de Ameaças com o poder da expertise coletiva em cibersegurança.