Les opérateurs du voleur d’informations Ducktail ont démontré une « volonté implacable de persister » et ont continué à mettre à jour leurs logiciels malveillants dans le cadre d’une campagne financière en cours. « Le malware est conçu pour voler les cookies du navigateur et profiter des sessions Facebook authentifiées pour voler des informations sur le compte Facebook de la victime », a déclaré Mohammad Kazem Hassan Nejad, chercheur chez WithSecure, dans une nouvelle analyse. « L’opération détourne finalement les comptes Facebook Business auxquels la victime a un accès suffisant. L’acteur de la menace utilise l’accès obtenu pour diffuser des publicités à des fins monétaires. » Attribuée à un acteur menaçant vietnamien, la campagne Ducktail est conçue pour cibler les entreprises des secteurs du marketing et de la publicité numériques qui sont actives sur la plateforme Facebook Ads and Business. Sont également ciblés les individus au sein d’entreprises potentielles susceptibles d’avoir un accès de haut niveau aux comptes Facebook Business. Cela comprend le personnel du marketing, des médias et des ressources humaines. L’activité malveillante a été documentée pour la première fois par la société finlandaise de cybersécurité en juillet 2022. L’opération serait en cours depuis la seconde moitié de 2021, bien que des preuves indiquent que l’acteur de la menace était actif dès la fin de 2018.
Une analyse ultérieure par Zscaler ThreatLabz le mois dernier a révélé une version PHP du malware distribué en tant qu’installateurs pour les logiciels piratés. WithSecure, cependant, a déclaré que l’activité n’avait aucun lien avec la campagne qu’elle suit sous le surnom de Ducktail. La dernière itération du logiciel malveillant, qui a refait surface le 6 septembre 2022, après que l’acteur menaçant a été contraint d’arrêter ses opérations le 12 août en réponse à une divulgation publique, s’accompagne d’une foule d’améliorations intégrées pour contourner la détection. Les chaînes d’infection commencent désormais avec la livraison de fichiers d’archives contenant des feuilles de calcul hébergées sur Apple iCloud et Discord via des plateformes telles que LinkedIn et WhatsApp, indiquant une diversification des tactiques de harponnage de l’acteur menaçant. Les informations du compte Facebook Business collectées par le logiciel malveillant, qui sont signées à l’aide de certificats numériques obtenus sous le couvert de sept entreprises inexistantes différentes, sont exfiltrées à l’aide de Telegram. « Un changement intéressant qui a été observé avec la dernière campagne est que les canaux [de commande et de contrôle de Telegram] incluent désormais plusieurs comptes d’administrateur, indiquant que l’adversaire peut exécuter un programme d’affiliation », a expliqué Nejad.