Los investigadores de Kaspersky, la compañía dedicada a la seguridad informática, detectaron una nueva versión de Ducktail, el malware especializado en el robo de cuentas de Facebook Business.
De acuerdo la multinacional rusa, "los cibercriminales la están utilizando para atacar a empleados de compañías que ocupan o puestos importantes en la compañía o trabajan en áreas de Recursos Humanos, marketing digital o marketing en redes sociales".
Así se ejecuta el malware Ducktail
De acuerdo con Kaspersky, el objetivo principal de los ciberdelincuentes es secuestrar las cuentas corporativas de Facebook, por ello suelen atacar a los empleados que usan esta red social con frecuencia para bien de la compañía.
La forma en la que funciona el ciberataque es mediante archivos maliciosos, los cuales son enviados a las víctimas para que lo descarguen y ejecuten la infección. Kasperksy señala que estos archivos contienen cebos en forma de imágenes o archivos de video sobre un tema en común, pero dentro de los archivos se encuentran otros ejecutables disfrazados de archivos PDF.
"Estos archivos tenían un icono de PDF y unos nombres muy largos para desviar la atención de la víctima de la extensión EXE e incitar al destinatario a abrir el falso PDF para ver el contenido de este", señaló la compañía de ciberseguridad.
Al dar clic en el archivo con la extensión EXE, se ejecuta un scrip malicioso, el cual escanea todos los accesos directos del escritorio, el menú de Inicio y la barra de Inicio rápido. Este escaneo se realiza con el fin de encontrar los accesos directos a navegadores y al encontrar alguno de ellos, el malware lo altera añadiendo un nuevo comando para instalar una extensión en el navegador.
En cuanto el script ha terminado de hacer este proceso, le pide al usuario reiniciar el navegador, pero desde el acceso directo modificado.
"Cuando el usuario hace clic en el acceso directo, la extensión maliciosa se instala en el navegador, donde se disfraza de Documentos de Google sin Conexión, usando el mismo icono y la misma descripción", detalló Kaspersky.
Una vez que se ha instalado y ejecutado la extensión maliciosa, esta comienza a monitorear las pestañas que abre el usuario del navegador. Si encuentra una dirección asociada a Facebook, el malware comprueba si es una cuenta publicitaria o de Business Manager para intentar secuestrarla.
En caso de lograr su propósito, Ducktail robará toda la información de las cuentas de Facebook y las cookies de las sesiones activas en el navegador.
¿Cómo puedes protegerte de Ducktail?
Kaspersky ha enumerado algunos hábitos de seguridad para evitar ser atacado por Ducktail. A continuación, te dejamos los puntos importantes a considerar:
Nunca descargues archivos sospechosos en los ordenadores del trabajo.
Antes de abrir algún archivo, revisa con atención las extensiones.
No dar clic en archivos que parezcan inofensivos pero que tengan la extensión EXE.
Instala una protección fiable en los dispositivos del trabajo para evitar ataques.
Comments