Contas empresariais do Facebook estão sob uma nova ameaça. O perpetrador? Extensões de navegador maliciosas desenvolvidas pela infame família Ducktail.

“O único computador seguro está desconectado, trancado em um cofre e enterrado a seis metros de profundidade em um local secreto… e nem tenho certeza disso.” –Dennis Hughes, FBI.

Esta citação soa mais verdadeira do que nunca no cenário digital atual.

O Modus Operandi da Família Ducktail

Ducktail é um ladrão de informações especialmente projetado que pode levar a consequências graves, como problemas de privacidade, perdas financeiras e roubo de identidade. Graças às suas atualizações constantes, pode contornar as medidas de segurança da maioria das plataformas de redes sociais, com foco principal em anúncios e contas empresariais.

O objetivo final do hack é atingir as contas do Facebook dos funcionários da organização que ocupam cargos bastante elevados ou trabalham em RH, marketing digital ou marketing de mídia social, conforme relatado pela Kaspersky. Os criminosos enviam arquivos maliciosos para suas vítimas em potencial, usando fotos e videoclipes temáticos sobre um tópico compartilhado como isca nos arquivos.

Malware relatado como moda

A maioria dos e-mails no arquivo tem um tema antiquado. Participantes proeminentes da indústria da moda receberam e-mails em seu nome contendo arquivos de fotos de roupas. O documento parece ser um arquivo PDF, mas contém arquivos maliciosos que podem danificar o seu computador. Os nomes dos arquivos são cuidadosamente escolhidos para parecerem relevantes e convencerem o destinatário a clicar neles. É crucial ter cuidado ao lidar com arquivos desconhecidos para evitar possíveis riscos de segurança.

A técnica Bait and Switch

Embora os nomes da campanha temática de moda estejam relacionados com “diretrizes e requisitos dos candidatos”, outras formas de isca, como listas de preços ou ofertas comerciais, também podem ser utilizadas. Depois que a vítima abre o arquivo exe, o conteúdo de um PDF arquivo que contém o código malicioso incorporado. Ao mesmo tempo, o malware verifica todos os atalhos da área de trabalho, o menu Iniciar e a barra de ferramentas Quick Launch.

Ele procura atalhos para navegadores executados na plataforma Chromium, como Microsoft Edge, Vivaldi, Brave e Google Chrome. Depois de encontrar um, o vírus modifica a linha de comando do executável para incluir uma instrução para instalar uma extensão do navegador.

Imitar o Google Docs off-line

Depois disso, o script malicioso encerra o processo do navegador, convencendo o usuário a reiniciá-lo usando um dos atalhos personalizados e baixar extensões falsas em seus sistemas, usando o mesmo símbolo e descrição para fingir ser Documentos Google off-line. A extensão também rouba os cookies de sessão ativa do navegador, que permitem login não autenticado em contas do Facebook, desde o aceboothose até o dispositivo da vítima.

Contramedidas para proteção contra extensões maliciosas do navegador

Ao baixar arquivos de sites suspeitos, é aconselhável evitar fazê-lo em computadores oficiais de trabalho. Sempre verifique as extensões de todos os arquivos baixados da Internet ou de e-mail antes de abri-los. Um arquivo com extensão EXE que parece ser um documento legítimo nunca deve ser clicado porque é um software malicioso.

Compartilhe o artigo através do URL curto: