NUEVA VARIANTE DEL MALWARE DUCKTAIL

22/11/2022

BOLETÍN NRO 2022-694

Recientemente se ha descubierto una nueva campaña de Phishing que consiste en el uso del malware Ducktail, el cual ha sido actualizado para pasar desapercibido a través de los sistemas de seguridad.

 

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Los ciberdelincuentes se dirigen a organizaciones que operan en la plataforma Business/Ads de Facebook para secuestrar sus credenciales, con una motivación financiera. A principios de este año, el malware Ducktail se distribuía a través de LinkedIn, pero los operadores han cambiado de técnicas, para evadir la detección. Tras la revelación pública, el certificado digital utilizado en la campaña fue revocado, lo que hizo que los atacantes intentaran utilizar certificados no válidos. Tras descubrir que los esfuerzos no daban resultado, los atacantes detuvieron la distribución del malware en mediados de agosto.

En septiembre, los atacantes reanudaron su actividad, utilizando una nueva variante de malware compilada en .NET 7, pero basada en la misma base de código. El malware obtenía direcciones de correo electrónico de su servidor de comando y control (C&C) y se vio que encriptaba los datos que se exfiltraban.

En octubre, los atacantes volvieron a emplear binarios de Windows .NET Core 3 autocontenidos que incluían código anti-análisis copiado de GitHub. El malware fue visto lanzando un archivo señuelo para ocultar su intención maliciosa, como un documento (.docx), una hoja de cálculo (.xlsx) o un vídeo (.mp4). Otras variantes de Ducktail incluyen un archivo de complemento de Excel (.xll) y un payload .NET.

Para evadir la detección, el malware tenía con certificados EV (validación extendida), y se han observado que cambia estos certificados después de la revocación, a mitad de la campaña.

Mientras que Telegram sigue siendo utilizado para fines de C&C, los ciberdelincuentes han estado asociando múltiples cuentas de administrador a los canales de Telegram, lo que sugiere que podría estar ejecutando un programa de afiliados como parte de sus esfuerzos de expansión.

Los certificados de firma de código han sido adquiridos a través de empresas registradas en Vietnam, con siete de ellas identificadas hasta la fecha. La primera de ellas se registró en 2017, pero no realizó la primera compra de certificados hasta 2021.

Mientras se investigaba los incidentes de Ducktail, se descubrió que algunas víctimas eran atacadas con archivos comprimidos a través de WhatsApp. Cuando la víctima carecía de permisos suficientes para añadir la dirección de correo electrónico de los atacantes a la cuenta de empresa de Facebook prevista, el adversario reunía suficiente información para hacerse pasar por la víctima y lograr su objetivo.

Indicadores de Compromiso

HASH

MD5: f9595c0c7dfc880c084464eaca5ab2bb

SHA-256: 51abe6d7196e93c4264ff508a11611b871bb1c9d96df2086efe84dd48af96cc2

MD5: 930da218df30a3ef68c8865bf51a8e4f

SHA-256: 05aeb980d9eb1597bfde77b6969bdc7d13ff8a5f95db4112c5330f442c01f6f0

MD5: acd6435129d1a53f8558c3d7eab5e588

SHA-256: e5a2d62ab4f8dcce7c5376378ec16bbcb5620f5ea507e74b0ac32649a2b9e52b

MD5: 343a2d61d62bd9fd49374045ff49cd31

SHA-256: c2c7347339cbb5975205df81cfa89e8c23c59f97e56a81fbd2c178a78def23df

MD5: f08e6d7a47b99435ee3abe27ffc3fcce

SHA-256: 267874d5e9ccb484994fc20d08f8c653986e056c12cfc8e1ce7565dd6b60f5a7

MD5: 1a0c95e27471391904e0a03e2bedc438

SHA-256: 3ece0a9a92a410b8edad39bbb2aad3c155ae7f8b2a0177e116efbe29292329a9

MD5: 93a54c13fad1715c10b1804b8a029d8c

SHA-256: 07d5d4721c3ed9a860dc10d25f226dd81a83602023c63310f9634b8dd704e7f8

MD5: fd435754ae6d29ad012bcc2e33598155

SHA-256: 0dcf3b1c16f39e375e53b2b63de1f267334a075e84aad857b3ce52dcaee73ab2

MD5: 16e029f5b7e855d8c69caa6752afe3f7

SHA-256: 012ec7a1553f46fd3fe28f175a3205c85f672153a6793a81cc8f6ad65085cc0c

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• No almacenar credenciales en el Navegador Web, para que no sean obtenidos por malware stealer.

• Eliminar las cookies después de cada sesión del navegador para evitar el secuestro de datos.

• Aplique una política de contraseña segura e implemente cambios regulares de contraseña.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Vietnam-Based Ducktail Cybercrime Operation Evolving, Expanding
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​