WithSecure™ détecte un nouveau malware infostealer : DUCKTAIL

Rueil-Malmaison – 26 juillet 2022 : WithSecure™ a identifié une opération de hacking en cours, baptisée DUCKTAIL. Cette campagne cible les entreprises et individus actifs sur la plateforme Ads and Business de Facebook. D’après les indices récoltés jusqu'à présent, un groupe vietnamien aux motivations financières serait à l’origine de ces attaques.

L’infostealer DUCKTAIL intègre une fonctionnalité spécialement conçue pour hijacker les comptes Facebook Business. Cette fonctionnalité, la première du genre observée par WithSecure™, distingue DUCKTAIL des précédents malwares ciblant Facebook. DUCKTAIL est conçu pour voler des cookies de navigateur et exploiter des sessions Facebook authentifiées. Il peut ainsi voler des informations sur le compte Facebook de la victime et, in fine, hijacker les comptes Facebook Business auquel elle a potentiellement accès.

D'après les observations réalisées par WithSecure™, DUCKTAIL repère et hameçonne ses cibles via LinkedIn. Les utilisateurs sont ciblés parce qu’ils sont susceptibles de détenir un accès de haut niveau à un compte Facebook Business, avec des privilèges administrateurs.

« Nous pensons que les opérateurs de DUCKTAIL sélectionnent soigneusement un petit nombre de cibles, pour augmenter leurs chances de réussite tout en restant inaperçus. Les professionnels pris pour cible opèrent à des postes de direction ou bien dans le marketing, le community management ou les ressources humaines » explique Mohammad Kazem Hassan Nejad, chercheur pour WithSecure™ Intelligence.

Plus tôt cette année, DUCKTAIL a été identifié comme malware inconnu. WithSecure™ a alors commencé à traquer DUCKTAIL et a découvert qu’il était en circulation depuis le second semestre 2021. Depuis, le malware a été régulièrement mis à jour par ses opérateurs. Il a notamment été amélioré pour mieux contourner les fonctions de sécurité existantes ou nouvelles de Facebook.

WithSecure™ permet la détection des attaques via sa plateforme de protection des endpoints (EPP) et sa solution EDR (Endpoint Detection and Response). Ces détections reposent sur des signatures de détection statiques et comportementales, ainsi que sur des mécanismes de détection assurés à plusieurs étapes du cycle de vie de l'attaque. Comme l’explique Mohammad Kazem Hassan Nejad, la vigilance doit, elle aussi, jouer un rôle clé : « De nombreuses campagnes de spear phishing ciblent les utilisateurs sur LinkedIn. Si vous disposez d'un accès administrateur pour les comptes de réseaux sociaux de votre entreprise, vous devez faire preuve de prudence lorsque vous interagissez avec d'autres personnes sur les réseaux sociaux, en particulier lorsqu’elles vous envoient des liens ou des pièces jointes. »

La popularité des réseaux sociaux et des plateformes médias ne cesse de croître et les cybercriminels tentent de tirer profit de cette tendance. Ils diffusent des malwares, lancent des campagnes de désinformation et mènent des activités frauduleuses. Jusqu'à présent, les logiciels malveillants ciblant les réseaux sociaux comme Facebook ont été relativement rares en raison des mécanismes de sécurité mis en place par ces plateformes. Néanmoins, du fait de leur base d'utilisateurs colossale, ces plateformes restent des vecteurs d'attaque de choix pour les pirates informatiques.

Un article et un rapport détaillés sur DUCKTAIL sont disponibles ici : https://labs.withsecure.com/publications/ducktail

Relations médias WithSecure™
Françoise Amon KOUTOUA
06 43 62 98 12

L’Agence RP

Justine Boiramier - justine@lagencerp.com - 06 50 31 86 24

Lucille Lavigne – lucille@lagencerp.com

Mélina Dahmane – melina@lagencerp.com