È stata rilevata una nuova campagna di spear phishing, una truffa realizzata tramite comunicazione elettronica o e-mail, che ha preso di mira LinkedIn, servendosi del noto social network professionale per tentare di accedere ad account Facebook Business, tipicamente utilizzati dai responsabili social di aziende o organizzazioni e dotati di privilegi da amministratore.
A rilevare la minaccia, denominata Ducktail, sono stati i ricercatori della società di cybersecurity WithSecure, che hanno stimano che questa campagna è operativa dalla fine del 2021 e che dietro a tutto ci sia una cybergang vietnamita nota dal 2018.
I bersagli di Ducktail vengono contattati via LinkedIn e vengono convinti a scaricare un file di un noto e apparentemente innocuo servizio di cloud storage, come Dropbox. All’interno del file sono presenti una serie di immagini in formato jpg e un documento che sembra un semplice pdf. Quest’ultimo è in realtà il malware adattabile a qualsiasi sistema operativo.
Una volta installato, il malware legge i cookie di tutti i principali browser (Chrome, Edge, Firefox, Brave), cercando quelli di sessione relativi a Facebook e rileva numerosi dati sia dall’account personale che da quello aziendale, tra cui nome, e-mail, data di nascita, e – nel caso di profili aziendali – anche l’elenco dei clienti e le spese destinate alla pubblicità. Successivamente, i dati vengono spediti a un server di Telegram tramite un bot e i cybercriminali tentano di prendere il controllo dell’account Facebook della vittima, sostituendo le informazioni finanziarie della società presenti sulla pagina con le proprie e intascandosi i fondi destinati alle attività aziendali.
“Una delle caratteristiche uniche del malware è la sua capacità di sabotare gli account Facebook Business associati all’account Facebook della vittima” – si legge nel rapporto di WithSecure.
Come per tutte le campagne di phishing di questo tipo, il consiglio della società è semplicemente di fare attenzione a cosa si installa sui propri dispositivi.
