Stando a un rapporto proposto al pubblico da WithSecure, l’infostealer Ducktail sta continuando a diffondersi su Facebook. I cybercriminali dietro questo agente malevolo, a quanto pare, hanno aumentato le loro attività durante l’ultimo mese.
Ducktail è emerso per la prima volta poco più di un anno fa, prendendo di mira gli account aziendali su Facebook e diffondendosi tramite e-mail di spear phishing contro obiettivi mirati.
I file dannosi, di solito, vengono ospitati su servizi di archiviazione di file cloud e distribuito attraverso archivi contenenti il malware insieme a immagini, documenti e file video denominati utilizzando parole chiave pertinenti, capaci di catturare l’attenzione dell’obiettivo.
Una volta infettato un dispositivo, Ducktail agisce rubando i cookie del browser e sfruttando sessioni autenticate di Facebook per sottrarre ulteriori informazioni alla vittima.
Ducktail sfrutta marchi ben noti al pubblico per ottenere maggiore credibilità
L’ultima campagna Ducktail si sta svolgendo in modo simile pur integrando strumenti di tendenza, come i servizi di intelligenza artificiale. In tal senso, i cybercriminali potrebbero utilizzare piattaforme dedicate all’IA generativa (come ChatGPT) per agire con maggiore efficacia quando attaccano esperti di marketing e altri professionisti.
Il malware, inoltre, ha ampliato i suoi orizzonti per quanto riguarda distribuzione e tipi di vittima. Oggi, Ducktail si concentra sulle opportunità di lavoro, sfruttando marchi famosi a loro discapito. Secondo i ricercatori, tra i brand abusati figura la casa automobilistica BMW, il colosso dei cosmetici L’Oréal, le firme Fendi e Prada nel contesto della moda, così come tante altre aziende molto note.
Il processo e il fine, resta però quello di rubare cookie e credenziali di accesso. Secondo Mohammad Kazem Hassan Nejad, autore del report di WithSecure “Sfruttare tale accesso per pubblicare annunci fraudolenti utilizzando le capacità esistenti delle aziende interessate, come le linee di credito allegate, ha molto più valore per i criminali informatici motivati finanziariamente. L’esecuzione di annunci fraudolenti consente ad altre minacce di prendere forma e propagarsi provocando un effetto a cascata per le vittime a cui vengono mostrati annunci fraudolenti, amplificando l’impatto oltre l’azienda interessata“.
Hassan Nejad ha affermato che il gruppo dietro di esso sta chiaramente diventando molto più sofisticato e maturo. Questo, infatti, sta iniziando a far evolvere il malware per incorporare funzionalità che consentono di eludere rilevamento e analisi.
Non solo: secondo il ricercatore, Ducktail sta spostando le sue mire sugli account pubblicitari di X (ex Twitter) sfruttando le funzionalità del social network per i propri scopi.
Duckport: variante o malware a sé stante?
A tal proposito, è stata anche individuata una variante evoluta dell’infostealer, ovvero Duckport.
Alcune funzionalità considerate esclusive di questo nuovo malware includono la capacità di acquisire screenshot, sfruttare i servizi di condivisione di note online durante la gestione dal server di comando e controllo.
Neeraj Singh, altro ricercatore di WithSecure, ha ipotizzato che il coinvolgimento di gruppi hacker diversi ma simili indica una chiara direzione d’azione degli stessi.
“Questi vari gruppi potrebbero attingere competenze da un pool di talenti comune, oppure potrebbero operare all’interno di un quadro di condivisione delle informazioni per scambiare strumenti e approfondimenti riguardanti strategie efficaci” ha affermato Singh.