Las redes sociales se han convertido en un componente fundamental de la estrategia de marketing de muchas empresas. Plataformas como Facebook ofrecen a las empresas una forma efectiva de interactuar con su audiencia, promocionar productos y servicios, y crear una sólida presencia en línea. Sin embargo, esta popularidad también ha atraído la atención de ciberdelincuentes que buscan sacar provecho de las cuentas de negocios en Facebook. Uno de los últimos ataques de este tipo que ha estado causando preocupación en la comunidad de seguridad cibernética es conocido como "Ducktail." En este artículo, exploraremos en profundidad qué es Ducktail, cómo funciona y qué medidas se pueden tomar para proteger las cuentas de negocios en Facebook de este tipo de amenaza.
¿Qué es Ducktail y cómo funciona?
Ducktail es el nombre que se le ha dado a una forma particular de malware que se ha especializado en el robo de cuentas de negocios en Facebook. Este malware es especialmente peligroso debido a su capacidad para operar de manera sigilosa y efectiva, sin ser detectado fácilmente por las medidas de seguridad convencionales.
Los ciberdelincuentes que operan detrás de Ducktail emplean una estrategia consistente en el envío de archivos maliciosos a sus posibles víctimas. Con el objetivo de disminuir la sospecha del destinatario, estos archivos están camuflados con señuelos, los cuales toman la forma de imágenes y videos relacionados con un tema común.
Por ejemplo, en la campaña más reciente que abarcó desde marzo hasta principios de octubre de 2023, el tema central fue la moda. En nombre de influyentes actores de la industria de la moda, se enviaron correos electrónicos que contenían archivos que aparentaban ser colecciones de fotografías de prendas de vestir. No obstante, es importante destacar que dentro de estos archivos aparentemente inocentes se ocultaban archivos ejecutables. Estos archivos poseían iconos que simulaban ser archivos PDF y nombres de archivo excepcionalmente largos, con la intención de distraer la atención del destinatario de la extensión real, que era EXE.
Además, los nombres de estos archivos falsos parecían ser seleccionados cuidadosamente debido a su relevancia, con el propósito de persuadir a los destinatarios a hacer clic en ellos. En la campaña de moda, los nombres hacían referencia a "directrices y requisitos para los candidatos", pero también podrían utilizarse otros señuelos como listas de precios o ofertas comerciales, según la ocasión.
Una vez que un destinatario hace clic en el archivo EXE disfrazado, se desencadena un script malicioso en el dispositivo de destino. En sus primeras etapas, este script muestra el contenido de algún archivo PDF incrustado en el código del malware, con la esperanza de engañar a la víctima. Al mismo tiempo, el malware escanea todos los accesos directos presentes en el escritorio, el menú Inicio y la barra de herramientas de Inicio rápido. Su búsqueda se enfoca en identificar accesos directos relacionados con navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Vivaldi, Brave y otros similares.
Una vez que localiza uno de estos accesos directos, el malware modifica su línea de comandos, incorporando una instrucción destinada a la instalación de una extensión del navegador, la cual también está integrada en el archivo ejecutable. Luego de estos pasos, el script malicioso concluye su tarea al finalizar el proceso del navegador y solicita al usuario que lo reinicie utilizando uno de los accesos directos previamente modificados.
Te podrá interesar leer: Análisis de Malware con Wazuh
Extensión de Navegador Maliciosa: Camuflaje y Acciones Sigilosas
Una vez que el usuario hace clic en el acceso directo, una extensión maliciosa se instala en el navegador, empleando una táctica engañosa al hacerse pasar convincentemente por Google Docs Offline. Esta extensión utiliza el mismo ícono y descripción que la versión legítima de Google Docs Offline, aunque esta información solo se presenta en inglés, lo que podría desvelar la falsificación en algunas regiones.
Una vez que la extensión maliciosa está instalada y en funcionamiento, inicia una vigilancia constante de todas las pestañas abiertas por el usuario en el navegador, enviando información relacionada con ellas al servidor de control y comando (C2) operado por los atacantes. Si detecta una dirección web vinculada a Facebook entre las pestañas abiertas, la extensión maliciosa se pone en acción buscando cuentas de publicidad y comerciales, y posteriormente las toma bajo su control.
Podría interesarte: Desentrañando el Mundo de la Ciberseguridad C2
Esta extensión maliciosa tiene la capacidad de robar información de las cuentas de Facebook que se encuentren abiertas en el dispositivo de la víctima, así como también de obtener las cookies de sesión activa almacenadas por el navegador. Estas cookies pueden ser utilizadas para acceder a las cuentas sin necesidad de autenticación adicional.
Según informes disponibles, el grupo responsable del malware, que opera bajo el nombre de Ducktail, ha estado activo desde el año 2018. Varios equipos de investigación en seguridad creen que este grupo tiene origen en Vietnam. La distribución de Ducktail, a manos de este grupo, ha sido identificada hasta el año 2021.
¿Por qué las cuentas de negocios en Facebook son un objetivo atractivo?
Ahora que entendemos cómo funciona Ducktail, es importante comprender por qué las cuentas de negocios en Facebook son un objetivo tan atractivo para los ciberdelincuentes. Hay varias razones clave detrás de esto:
-
Datos valiosos: Las cuentas de negocios en Facebook suelen contener información valiosa, como datos de clientes, estrategias de marketing y métricas de rendimiento. Esto puede ser aprovechado por los ciberdelincuentes para diversos fines, como el robo de identidad o la venta de datos en el mercado negro.
-
Acceso a seguidores y audiencia: Tomar el control de una cuenta de negocios en Facebook les brinda a los ciberdelincuentes acceso directo a la audiencia de la empresa. Pueden aprovechar esto para distribuir contenido malicioso o incluso estafar a los seguidores.
-
Reputación en riesgo: Las actividades maliciosas en una cuenta de negocios pueden dañar seriamente la reputación de la empresa. Publicaciones inapropiadas o engañosas pueden alejar a los seguidores y afectar negativamente la percepción de la marca.
-
Beneficios económicos: Algunos ciberdelincuentes pueden buscar obtener beneficios económicos a través del control de cuentas de negocios en Facebook. Esto puede incluir la extorsión de la empresa para recuperar el acceso a su cuenta o la venta de la cuenta a terceros.
Podría interesarte: Datos de Redes Sociales y su Presencia en la Dark Web
¿Cómo proteger las cuentas de negocios en Facebook de Ducktail y amenazas similares?
La seguridad cibernética es fundamental para proteger las cuentas de negocios en Facebook y evitar caer víctima de malware como Ducktail. Aquí hay algunas medidas clave que las empresas pueden tomar:
-
Educación y concienciación: Capacitar a los trabajadores en la detección de correos electrónicos de phishing y en las prácticas de seguridad en línea es esencial. La concienciación puede ayudar a prevenir la infección inicial de Ducktail.
-
Actualizaciones y parches: Mantener todos los dispositivos y software actualizados con las últimas actualizaciones de seguridad es fundamental para cerrar posibles brechas de seguridad que los ciberdelincuentes podrían explotar.
-
Uso de autenticación de dos factores (2FA): Habilitar la autenticación de dos factores en las cuentas de Facebook puede dificultar que los ciberdelincuentes accedan a ellas incluso si obtienen las credenciales de acceso.
-
Monitoreo de actividad sospechosa: Implementar sistemas de monitoreo de actividad en las cuentas de Facebook puede ayudar a detectar actividad inusual o no autorizada a tiempo.
-
Software de seguridad confiable: Utilizar soluciones de seguridad confiables, como programas antivirus y antimalware, puede ayudar a detectar y eliminar amenazas como Ducktail antes de que causen daño.
-
Contraseñas seguras: Fomentar el uso de contraseñas fuertes y únicas para las cuentas de Facebook y cambiarlas periódicamente puede reducir el riesgo de robo de credenciales.
Podría interesarte: Contraseñas Seguras vs Ataques de Fuerza Bruta
Ducktail y amenazas similares representan un riesgo significativo para las cuentas de negocios en Facebook. Sin embargo, con la concienciación adecuada, la educación y la implementación de medidas de seguridad sólidas, las empresas pueden proteger sus cuentas y datos de manera efectiva. La seguridad cibernética es una responsabilidad compartida que involucra a empleados, dueños de negocios y profesionales de la seguridad, y es esencial para mantener la integridad y la confianza en línea en la era digital actual.