¡Cuidado con tu cuenta! Acabamos de descubrir a Ducktail; el malware que tiene como objetivo robar datos de cuentas de Facebook

En julio WithSecure Intelligence, la empresa de Cyberseguridad, detectó las operaciones de un grupo el cual había estado utilizando un troyano para robar información de cuentas oficiales con fines económicos. Desde que fueron descubiertos y las personas alertadas del peligro, la situación no ha hecho más que empeorar.

Pese a todos los esfuerzos Ducktail sigue encontrando nuevas y mejoradas formas de colarse de los equipos a los navegadores, y de las cuentas a las billeteras pertenecientes a los usuarios de Internet. Hace un par de días, la empresa de seguridad Zscaler dio a conocer un nuevo informe estableciendo que el malware sigue en circulación con métodos más riesgosos.

Ducktail; el malware que roba datos de inicio de sesión en Facebook

Una intrincada estrategia de estafa ha estado siendo utilizada por un grupo de hackers aparentemente vietnamitas desde hace cuatro años y, gracias a que no han sido del todo identificados, continúan perfeccionando el método y causando estragos en la Internet.

La versión previa de este virus fue detectada en julio de este año y consistía en colocar anuncios en la red de LinkedIn que fueran de interés, especialmente para los manejadores de cuentas en Facebook Business. Normalmente se trataba de ofertas de marketing, que llevaban a conversaciones aparentemente legítimas en Telegram para organizar los detalles.

Un nuevo #malware denominado #DUCKTAIL, se dirige a las cuentas corporativas de @facebook , que mediante ataques de #phishing en redes sociales intenta acceder a las cuentas Business y a cuentas de correo de la plataforma. #Ciberseguridad https://t.co/Pwg0kUGDRy pic.twitter.com/j3DB0XNaXm

— CSO Spain (@CSOspain) July 27, 2022

La siguiente fase consistía en concretar el trato enviando grupos de archivos con imágenes para las publicidades entre los cuales, estaría incluido el archivo corrupto camuflado como un documento PDF que debía contener las instrucciones de acuerdo. Si el procedimiento resultaba exitoso, la víctima, aparte de ser hackeada, terminaría publicando los anuncios que atraerían a más personas a la estafa sin saberlo.

Ducktail parece tener su base de operaciones en Vietnam y atacar especialmente a usuarios de Norteamérica, Europa, África y el Medio Oriente.

Una vez infiltrado el virus en el equipo, atacaría directamente a la memoria buscando cualquier dato importante en el navegador. Su principal foco estaba en los datos de inicio de sesión en Facebook, dichas cuentas oficiales se usaban más adelante para cometer fraudes, así como los datos de pago asociados a las cuentas.

Es un sistema muy bien planificado y complejo. Aunque se han logrado descubrir muchas cosas sobre su modus operandi y ya muchos están advertidos, la amenaza no ha hecho más que extender su campo de trabajo. Han logrado acortar la ruta camuflando el malware en enlaces de softwares piratas, contenido para adultos, juegos y archivos para subtítulos descargados fuera de las fuentes oficiales.

Hacer clic en el enlace llevará a la instalación de una aplicación falsa, y en los archivos de instalación vendrá incluido uno que funcionará de manera muy parecida al anterior, pero atacando a un público más amplio.

No solo eso, sino que posee un alcance mucho mayor, ahora lo utilizan para obtener también datos de ingreso a billeteras de criptomonedas y cualquier otro dato para realizar pagos por distintos métodos, por ejemplo PayPal.

Consejos de los expertos para protegerte de Ducktail con éxito

Para evadir el riesgo de ser infectado con este malware -y cualquier otro-, es importante evitar los enlaces fraudulentos, especialmente si se trata de contenido para adultos o publicidades para juegos desconocidos.

Evitar también enlaces que vengan de correos electrónicos desconocidos o con ofertas extrañas, y descargar contenido sin verificar la fuente primero. Hacer la descarga siempre desde cuentas oficiales es también de vital importancia, teniendo en cuenta que el material descargado desde otras cuentas puede no mostrar diferencias aparentes con el original y los virus no suelen estar a simple vista.

También es importante recordar que, una vez entrado al sistema, este tipo de malware es difícil de detectar y no causa daños visibles al funcionamiento del equipo, así que, aunque parezca que la descarga se ha realizado con éxito y la aplicación funciona perfectamente bien, tras bastidores podrían estarse robando todos los datos personales e información bancaria.

Ante todo, lo más importante es tener un buen antivirus que sea eficaz y de confianza, para así utilizarlo para inspeccionar archivos de dudosa procedencia, programar revisiones al computador con regularidad e instalar bloqueos de anuncio para eludir este tipo de enlaces mientras dure la navegación.

En caso de sospechar que el virus ya se encuentra en el equipo y las cuentas han sido hackeadas, es importante desinstalar cualquier aplicación de fuentes extraoficiales que haya podido traer consigo archivos corruptos, borrar las carpetas que se hayan instalado con dicha aplicación -incluso de la papelera de reciclaje- y poner a andar el antivirus para hacer una limpieza.

Después eliminar y cambiar todos los datos personales guardados en el navegador, especialmente los datos de acceso a cualquier cuenta importante y, si ha existido algún movimiento extraño en dicha cuenta, reportarlo al equipo de soporte de la plataforma. Una vez hecho esto, implementar sistemas de autenticación personalizados en las cuentas para evitar que siga pasando algo similar.