L’operazione di cybercriminalità Ducktail, scoperta da WithSecure a inizio 2022, porta avanti attacchi malware e continua ad espandersi. Dal 2021, Ducktail ha utilizzato LinkedIn per colpire individui e organizzazioni che operano su Ads & Business di Facebook prendendo il controllo di account Facebook Business. In seguito all’esposizione delle attività di Ducktail, in un rapporto pubblicato questa estate, il gruppo ha modificato il proprio modo di operare per eludere le difese ed espandere le proprie attività.
Il malware Ducktail si evolve
Mohammad Kazem Hassan Nejad, ricercatore di WithSecure Intelligence Non vediamo alcun segno di rallentamento di Ducktail, ma piuttosto una rapida evoluzione di fronte alle difficoltà operative. Fino a questo momento, il team operativo dietro Ducktail era apparentemente ridotto, ma la situazione è cambiata.
Cambia il modus operandi
La recente attività di Ducktail, osservata dall’inizio di settembre, ha registrato diversi cambiamenti nel suo modo di operare.
Nuove vie per colpire con spear-phishing gli obiettivi, tra i quali WhatsApp.
Modifiche alle funzionalità del malware con un modo più robusto di recuperare gli indirizzi email controllati dagli attaccanti. Inoltre consentono di far sembrare il malware più legittimo tramite l’apertura di documenti e file video ingannevoli al momento del lancio.
Continui sforzi per eludere le difese modificando il formato e la compilazione dei file e controfirmando i certificati.
Ulteriore sviluppo delle risorse ed espansione operativa attraverso la creazione di altre attività fittizie in Vietnam e l’inserimento di affiliati nell’operazione.
Gli attacchi a Ads & Business di Facebook
Paolo Palumbo, Vice President di WithSecure Intelligence Gli attacchi ransomware ricevono molta attenzione. Tuttavia minacce come Ducktail possono causare danni finanziari e di immagine sostanziali e non dovrebbero essere trascurate. Con l’aumento dell’attività, dei nuovi affiliati e delle aziende fasulle, ci aspettiamo un aumento degli incidenti legati a Ducktail nel prossimo futuro.
Rispondere agli incidenti
Per questo il team di risposta agli incidenti di WithSecure ha aiutato diverse organizzazioni vittime a rispondere agli attacchi di Ducktail e di altre minacce che hanno preso di mira la piattaforma Ads & Business di Facebook. Le perdite causate da questi attacchi variavano da uno a 600mila dollari di crediti pubblicitari.
Il malware Ducktail si evolve ed è in espansione
Questo tipo di minacce è anche difficile da gestire per le aziende a causa della mancata separazione tra account personali e aziendali.
John Rogers, Global Head of Incident Response di WithSecure L’utilizzo delle stesse risorse per scopi sia personali che lavorativi può essere piuttosto problematico. Ad esempio, le indagini su un possibile incidente Ducktail possono richiedere l’accesso alla cronologia di Facebook di un individuo. Il che può avere molte implicazioni operative, etiche e legali impreviste. Si tratta di un problema che riguarda le organizzazioni e i loro dipendenti, per cui entrambi devono comprendere i rischi di queste situazioni.
Come è possibile difendersi
I difensori possono adottare le seguenti misure per proteggersi da Ducktail e minacce simili.
Sensibilizzare gli utenti con accesso agli account aziendali di Facebook/Meta sul fenomeno dello spear-phishing.
Applicare l’allowlisting delle applicazioni per impedire l’esecuzione di eseguibili sconosciuti.
Il malware Ducktail si evolve, non rallenta ma si espande
Utilizzare soluzioni EDR/EPP per prevenire e rilevare il malware nelle prime fasi del ciclo di vita dell’attacco.
Assicurarsi che i dispositivi gestiti o personali utilizzati con gli account Facebook aziendali siano dotati di protezione e “regole di igiene” di base.
Più attenzione alla sicrezza
Utilizzare la navigazione privata per autenticare ogni sessione di lavoro quando si accede agli account Facebook Business. Questo fa sì che la sessione venga dimenticata al termine, impedendo così il furto e l’abuso dei cookie.
Seguire le pratiche di sicurezza raccomandate da Meta.
Scaricare e analizzare i log pertinenti il più rapidamente possibile quando si risponde a un incidente sospetto.
