{"id":22060,"date":"2023-12-08T15:04:44","date_gmt":"2023-12-08T18:04:44","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22060"},"modified":"2023-12-08T15:04:44","modified_gmt":"2023-12-08T18:04:44","slug":"ducktail-steals-facebook-business-accounts","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ducktail-steals-facebook-business-accounts\/22060\/","title":{"rendered":"Malware rouba contas do Facebook"},"content":{"rendered":"

Nossos pesquisadores descobriram uma nova vers\u00e3o da fam\u00edlia de malware Ducktail, especializada em roubar contas do Facebook Business. Os cibercriminosos o utilizam para atingir funcion\u00e1rios de empresas que ocupam cargos de alto escal\u00e3o ou trabalham em departamentos como Recursos Humanos, marketing digital ou m\u00eddias sociais. O que faz sentido: o objetivo final \u00e9 sequestrar contas corporativas do Facebook, para que os invasores estejam interessados, nas pessoas com maior probabilidade de ter acesso a elas. Explicamos como esses ataques s\u00e3o feitos, o que os torna incomuns e, claro, como se manter protegido.<\/p>\n

Isca e carga maliciosa<\/h2>\n

Os cibercriminosos por tr\u00e1s do Ducktail enviam arquivos maliciosos para suas v\u00edtimas. Para fazer com que os destinat\u00e1rios baixem a guarda, os arquivos cont\u00eam iscas na forma de imagens tem\u00e1ticas e arquivos de v\u00eddeo sobre um tema comum. Por exemplo, o tema da campanha mais recente (de mar\u00e7o a in\u00edcio de outubro de 2023) foi moda: foram enviados e-mails em nome de grandes players da ind\u00fastria dessa ind\u00fastria, com arquivos contendo fotos de diversos modelos de roupas.<\/p>\n

No entanto, dentro desses arquivos havia arquivos execut\u00e1veis disfar\u00e7ados de documentos em formato PDF. Eles tinham \u00edcones PDF e t\u00edtulos muito longos para desviar a aten\u00e7\u00e3o da v\u00edtima da extens\u00e3o EXE e estimular o destinat\u00e1rio abri-lo para ver o que havia dentro. Nesta campanha com tem\u00e1tica de moda, os nomes referiam-se a \u201cdiretrizes e requisitos para candidatos\u201d, mas outras iscas padr\u00e3o podem ser listas de pre\u00e7os, promo\u00e7\u00f5es e assim por diante.<\/p>\n

\"Conte\u00fado<\/a>

O pacote malicioso do Ducktail cont\u00e9m um arquivo que parece um PDF, mas na verdade \u00e9 um EXE<\/p><\/div>\n

Clicar no arquivo EXE disfar\u00e7ado executa um script malicioso no dispositivo de destino. Em primeiro lugar, ele realmente exibe o conte\u00fado de algum arquivo PDF (incorporado no c\u00f3digo do malware), para que a v\u00edtima n\u00e3o perceba o golpe. Ao mesmo tempo, o malware verifica todos os atalhos da \u00e1rea de trabalho, o menu \u2018 Iniciar e a barra de ferramentas Quick Launch. O objeto da busca s\u00e3o atalhos para navegadores baseados em Chromium, como Google Chrome, Microsoft Edge, Vivaldi, Brave\u2026 Ao encontrar um, o malware o altera adicionando um comando para instalar uma extens\u00e3o de navegador, que tamb\u00e9m est\u00e1 inclu\u00edda no arquivo execut\u00e1vel. Cinco minutos ap\u00f3s ser executado, o script malicioso encerra o processo do navegador, solicitando que o usu\u00e1rio o reinicie usando o atalho modificado.<\/p>\n

Extens\u00e3o de navegador maliciosa<\/h2>\n

Quando o usu\u00e1rio clica no atalho, uma extens\u00e3o maliciosa \u00e9 instalada no navegador, onde ela se disfar\u00e7a de forma convincente como Google Docs Offline, usando exatamente o mesmo \u00edcone e descri\u00e7\u00e3o (embora apenas em ingl\u00eas, o que pode revelar o golpe).<\/p>\n

\"Extens\u00e3o<\/a>

A extens\u00e3o maliciosa disfar\u00e7ada de Google Docs Offline (esquerda) e a extens\u00e3o real do Google Docs Offline (direita) no navegador Google Chrome<\/p><\/div>\n

Depois de instalada e executada, a extens\u00e3o maliciosa passa a monitorar constantemente todas as abas abertas pelo usu\u00e1rio no navegador e a enviar informa\u00e7\u00f5es sobre elas ao servidor de comando e controle dos invasores. Se encontrar um endere\u00e7o associado ao Facebook entre as guias abertas, a extens\u00e3o maliciosa verifica se h\u00e1 contas de an\u00fancios e comerciais e as sequestra.<\/p>\n

A extens\u00e3o rouba informa\u00e7\u00f5es de contas do Facebook logadas no dispositivo da v\u00edtima, bem como cookies de sess\u00f5es ativas armazenados pelo navegador, que podem ser usados para fazer login nas contas sem autentica\u00e7\u00e3o.<\/p>\n

O grupo por tr\u00e1s do malware est\u00e1 ativo<\/a> desde 2018. V\u00e1rias<\/a> equipes de pesquisa acreditam que seja de origem vietnamita. A distribui\u00e7\u00e3o de Ducktail pelo grupo especificamente pode ser identificada em 2021.<\/p>\n

Como se manter protegido contra o Ducktail<\/h2>\n

Para se protegerem contra Ducktail e amea\u00e7as semelhantes, os funcion\u00e1rios s\u00f3 precisam ter em mente a higiene digital b\u00e1sica. Em particular:<\/p>\n