Malware rouba contas do Facebook

Como invasores usam arquivos infectados e extensões de navegador maliciosas para roubar contas do Facebook Business.

Nossos pesquisadores descobriram uma nova versão da família de malware Ducktail, especializada em roubar contas do Facebook Business. Os cibercriminosos o utilizam para atingir funcionários de empresas que ocupam cargos de alto escalão ou trabalham em departamentos como Recursos Humanos, marketing digital ou mídias sociais. O que faz sentido: o objetivo final é sequestrar contas corporativas do Facebook, para que os invasores estejam interessados, nas pessoas com maior probabilidade de ter acesso a elas. Explicamos como esses ataques são feitos, o que os torna incomuns e, claro, como se manter protegido.

Isca e carga maliciosa

Os cibercriminosos por trás do Ducktail enviam arquivos maliciosos para suas vítimas. Para fazer com que os destinatários baixem a guarda, os arquivos contêm iscas na forma de imagens temáticas e arquivos de vídeo sobre um tema comum. Por exemplo, o tema da campanha mais recente (de março a início de outubro de 2023) foi moda: foram enviados e-mails em nome de grandes players da indústria dessa indústria, com arquivos contendo fotos de diversos modelos de roupas.

No entanto, dentro desses arquivos havia arquivos executáveis disfarçados de documentos em formato PDF. Eles tinham ícones PDF e títulos muito longos para desviar a atenção da vítima da extensão EXE e estimular o destinatário abri-lo para ver o que havia dentro. Nesta campanha com temática de moda, os nomes referiam-se a “diretrizes e requisitos para candidatos”, mas outras iscas padrão podem ser listas de preços, promoções e assim por diante.

Conteúdo do arquivo malicioso Ducktail

O pacote malicioso do Ducktail contém um arquivo que parece um PDF, mas na verdade é um EXE

Clicar no arquivo EXE disfarçado executa um script malicioso no dispositivo de destino. Em primeiro lugar, ele realmente exibe o conteúdo de algum arquivo PDF (incorporado no código do malware), para que a vítima não perceba o golpe. Ao mesmo tempo, o malware verifica todos os atalhos da área de trabalho, o menu ‘ Iniciar e a barra de ferramentas Quick Launch. O objeto da busca são atalhos para navegadores baseados em Chromium, como Google Chrome, Microsoft Edge, Vivaldi, Brave… Ao encontrar um, o malware o altera adicionando um comando para instalar uma extensão de navegador, que também está incluída no arquivo executável. Cinco minutos após ser executado, o script malicioso encerra o processo do navegador, solicitando que o usuário o reinicie usando o atalho modificado.

Extensão de navegador maliciosa

Quando o usuário clica no atalho, uma extensão maliciosa é instalada no navegador, onde ela se disfarça de forma convincente como Google Docs Offline, usando exatamente o mesmo ícone e descrição (embora apenas em inglês, o que pode revelar o golpe).

Extensão de navegador maliciosa

A extensão maliciosa disfarçada de Google Docs Offline (esquerda) e a extensão real do Google Docs Offline (direita) no navegador Google Chrome

Depois de instalada e executada, a extensão maliciosa passa a monitorar constantemente todas as abas abertas pelo usuário no navegador e a enviar informações sobre elas ao servidor de comando e controle dos invasores. Se encontrar um endereço associado ao Facebook entre as guias abertas, a extensão maliciosa verifica se há contas de anúncios e comerciais e as sequestra.

A extensão rouba informações de contas do Facebook logadas no dispositivo da vítima, bem como cookies de sessões ativas armazenados pelo navegador, que podem ser usados para fazer login nas contas sem autenticação.

O grupo por trás do malware está ativo desde 2018. Várias equipes de pesquisa acreditam que seja de origem vietnamita. A distribuição de Ducktail pelo grupo especificamente pode ser identificada em 2021.

Como se manter protegido contra o Ducktail

Para se protegerem contra Ducktail e ameaças semelhantes, os funcionários só precisam ter em mente a higiene digital básica. Em particular:

  • Nunca baixe arquivos suspeitos para computadores de trabalho, se os links vierem de fontes não confiáveis.
  • Verifique cuidadosamente as extensões de todos os arquivos baixados da internet ou de e-mails antes de abri-los.
  • Nunca clique em um arquivo que pareça um documento inofensivo, mas que tenha a extensão EXE — ela é alerta de malware.
  • E sempre instale uma proteção confiável em todos os dispositivos de trabalho. Isso irá avisá-lo sobre o perigo potencial e derrotar qualquer ataque a tempo. Nossas soluções detectam essa ameaça com a identificação Trojan.Win64.Ducktail.gen.
Dicas