Facebook é alvo de nova versão de malware que rouba contas

O roubo de contas está cada vez mais frequente nas redes sociais, e boa parte disso está atrelada às versões aprimoradas de malwares que já conseguiram ter sucesso no passado. É o caso do Ducktail, que retorna em uma nova campanha de phishing para roubar contas do Facebook, dados do navegador do usurário e, se possível, carteiras de criptomoedas.

• Facebook mostra lista de 402 apps que roubam dados dos usuários
• Meta acusa desenvolvedores de apps pelo roubo de 1 milhão de contas no WhatsApp

O Ducktail apareceu pela primeira vez em julho de 2022, e, normalmente, suas campanhas se baseiam em ataques de engenharia social por meio do LinkedIn. O malware chega disfarçado em um documento PDF, que, supostamente, traz importantes informações de um projeto de marketing.

Os bandidos simulam uma urgência corporativa e se aproveitam da distração de uma vítima que encontraram no LinkedIn e, depois que a vítima abre o documento infectado, o malware rouba as informações armazenadas nos navegadores, concentrando-se nos dados da conta do Facebook Business. Essas credenciais são usadas posteriormente para fraude financeira ou para conduzir publicidade maliciosa.

Vale destacar que a nova versão do Ducktail tem um script PHP, diferente da anterior, que usava NET Core em iscas falsas contidas em jogos, arquivos de legendas, vídeos adultos e aplicativos quebrados do MS Office. Antes, os arquivos infectados eram hospedados em formato ZIP em serviços de hospedagem de arquivos legítimos.

Malware ampliou a superfície de ataque

Segundo o Bleeping Computer, as campanhas que usavam o malware Ducktail tinham como alvo funcionários de organizações que trabalham no departamento financeiro ou de marketing de empresas. Eles estavam em busca de permissões para criar e executar campanhas publicitárias no Facebook, com o objetivo de direcionar os pagamentos para suas contas bancárias ou executar suas próprias campanhas para disseminar a praga a um contigente maior.

Na nova campanha, contudo, os cibercriminosos incluíram usuários regulares do Facebook, com a esperança de obter qualquer informação valiosa que eles possam ter armazenado em suas contas. Exemplo disso são pessoas que possam ter acesso a uma conta comercial. O malware tentará obter informações adicionais sobre métodos de pagamento, ciclos, valores gastos, detalhes do proprietário, status de verificação, páginas de propriedade, endereço do PayPal e muito mais.

Para se proteger da ameaça, a maior recomendação é ficar atento às mensagens instantâneas do LinkedIn e sempre tratar solicitações de download de arquivos com cuidado extra — e claro, é preciso evitar conteúdo duvidoso na sua máquina, a exemplo de softwares piratas crackeados, mods de jogos e trapaças para games.

Fonte: Bleeping Computer