Los ciberdelincuentes vietnamitas se están sirviendo de la publicidad como vector en plataformas de redes sociales como Facebook para la distribución de malware.
El investigador Mohammad Kazem Hassan Nejad, de WithSecure, así lo explica:
"Los actores de amenazas han utilizado durante mucho tiempo anuncios fraudulentos como vector para atacar a las víctimas con estafas, publicidad maliciosa y más. Y ahora que las empresas aprovechan el alcance de las redes sociales para hacer publicidad, los adversarios tienen un tipo de ataque nuevo y muy lucrativo para agregar a su arsenal: secuestrar cuentas comerciales", concreta.
Las pandillas Ducktail y NodeStealer, conocidos por apuntar a empresas e individuos que operan en Facebook, han hecho que se popularicen estos ataques, según informa The Hackers News.
Estos piratas informáticos suelen servirse de distintos medios para obtener acceso no autorizado a las cuentas de los usuarios y, entre ellos, destaca la ingeniería social.
Los cibermalos siguen este modus operandi: contactan a la víctima a través de varias plataformas que van desde Facebook y Linkedin hasta WhatsApp y portales de empleo independientes como Upwork o Freelancer.
Entre estos ciberdelincuentes es común, igualmente, el uso de acortadores de URL, la aplicación de mensajería Telegram para comando y control (C2) y servicios de almacenamiento en la nube como Trello, Discord, Dropbox, iCloud, OneDrive o Mediafire para alejar las cargas maliciosas.
En el caso de Upwork o Freelancer se publican ofertas de trabajo falsas con cargas alojadas en ls mencionados servicios para infectar a las víctimas con el malware stealer Ducktail.
Este roba las cookies de sesión guardadas de los navegadores con un código específico para hacerse cargo de las cuentas comerciales de Facebook.
Además, suelen 'envenenar' los motores de búsqueda para impulsar software falso como CapCut, Notepad++, OpenAI ChatGPT, Google Bard y Meta Threads.
Las cuentas de redes sociales que logran piratear alimentan una economía clandestina de perfiles de redes sociales robados que se usan para todo tipo de actividades maliciosas.
Piratas disfrazados de marketeros
La firma Zscaler ha advertido sobre casos en los que el grupo de ciberdelincuentes inició el contacto mediante cuentas de Linkedin comprometidas que pertenecían a usuarios que trabajaban en el espacio del marketing digital, algunos de los cuales tenían más de 500 conexiones y 1.000 seguidores.
"La gran cantidad de conexiones/seguidores ayudó a dar autenticidad a las cuentas comprometidas y facilitó el proceso de ingeniería social para los actores de amenazas", han señalado los investigadores de la firma.
Parece que Ducktail solo es uno de los muchos actores de amenazas vietnamitas que están aprovechando herramientas y tácticas compartidas para llevar a cabo esos esquemas fraudulentos. Esto también incluye un imitador denominado Duckport, que ha estado activo desde finales de marzo de 2023 y realiza el robo de información junto con el secuestro de cuentas de Meta Business.