Así es Ducktail, la “nueva campaña” de malware que procede de Vietnam

Antonio Rentero,
Linkedin

El principal objetivo de Ducktail es secuestrar las cuentas de los usuarios de LinkedIn y Facebook Business.

Una nueva “campaña” de malware ha comenzado a extenderse desde finales del pasado año. Descubierto por la empresa de ciber seguridad WithSecure (anteriormente F-Secure Business), este nuevo malware se denomina DUCKTAIL y su origen se ha podido determinar en Vietnam, extendiéndose principalmente a través de las plataformas Ads de LinkedIN y Business de Facebook.

Originariamente DUCKTAIL fue detectado el pasado verano pero a lo largo de los meses transcurridos hasta finales de 2022 ha sido capaz de modificar su forma, con lo que ha podido esquivar los métodos de detección y defensa, ampliando su radio de acción y aumentando su actividad.

El objetivo de DUCKTAIL no es otro que conseguir secuestrar las cuentas de los usuarios de estas redes sociales. Desde WithSecure se informa que el equipo que originariamente estaba detrás de este malware era reducido pero se trata de una circunstancia que habría cambiado, y como consecuencia de esa ampliación del equipo que opera detrás de la “campaña” de ciberartaques se espera que continúe su evolución y su propagación.

Evolución y cambios

Desde finales de verano se han observado los siguientes cambios en la actividad de DUCKTAIL:

  • Nuevas vías de spearphish a través de WhatsApp.
  • Capacidad de presentar el malware como legítimo mediante documentos y archivos de vídeo falsos que se abren al iniciarse el ataque.
  • Cambios en el formato del archivo y los certificados.
  • Creación de nuevas empresas ficticias con sede en Vietnam a las que se incorporan filiales que participan en la operación.
Métodos para combatir DUCKTAIL (y otros malware)

Para combatir DUCKTAIL (y otras ciberamenazas) desde WithSecure recomiendan adoptar medidas tales como:

  • Sensibilizar sobre el spearphishing a los usuarios de la  organización que dispongan de cuentas de empresa en Facebook y LinkedIn.
  • Confeccionar listas de aplicaciones permitidas para evitar ejecutables desconocidos.
  • Usar soluciones de prevención y deteción de malware.
  • Asegurarse de que los dispositivos personales que se utilizan con las cuentas de Facebook/LinkedIn de la empresa disponen de las medidas básicas de seguridad y protección.
  • Utilizar la navegación privada para autenticar cada sesión de trabajo al acceder a las cuentas de Facebook Business.