Nos chercheurs ont découvert une nouvelle version du programme malveillant de la famille Ducktail, spécialisée dans le vol de comptes professionnels Facebook. Les cybercriminels s’en servent pour cibler les employés d’une entreprise qui ont une position assez élevée ou qui travaillent en ressources humaines, marketing digital ou communication marketing. C’est assez logique : l’objectif étant de pirater les comptes Facebook, les cybercriminels s’intéressent principalement aux personnes qui devraient y avoir accès. Nous vous expliquons comment ces attaques sont réalisées, pourquoi elles sont spéciales et comment vous protéger.
Leurre et charge malveillante
Les cybercriminels à l’origine de Ducktail envoient des archives malveillantes aux victimes. Pour que le destinataire ne se méfie pas, les archives contiennent un leurre qui se présente sous la forme d’images et de vidéos à propos d’un thème courant. Par exemple, la campagne la plus récente, qui s’est déroulée de mars à début octobre 2023, traitait de la mode : les e-mails étaient envoyés en utilisant le nom de grands acteurs de l’industrie de la mode, et les archives contenaient des photos de divers modèles de vêtements.
Pourtant, ces archives ne contenaient que des fichiers exécutables qui se présentaient sous la forme de documents PDF. Ces fichiers utilisaient l’icône PDF et de très longs noms pour détourner l’attention de la victime et éviter qu’elle ne remarque l’extension EXE. Cette technique pousse le destinataire à ouvrir le faux fichier PDF pour voir ce qu’il contient. Lors de cette campagne centrée sur la mode, les noms évoquaient les « exigences et directrices pour les candidats », mais d’autres astuces peuvent être utilisées : listes des tarifs, offres commerciales, etc.
Une fois ouvert, le fichier EXE exécute un script malveillant sur le dispositif ciblé. Il affiche dans un premier temps le contenu du fichier PDF (intégré dans le code malveillant) pour que la victime ne se doute de rien. D’autre part, le programme malveillant analyse tous les raccourcis du bureau, du menu Démarrer et de la barre de lancement rapide. Les raccourcis de navigateurs basés sur Chromium, comme Google Chrome, Microsoft Edge, Vivaldi ou Brave sont l’objet de cette recherche. Après en avoir trouvé un, le programme malveillant le modifie en ajoutant un ordre qui installe une extension du navigateur, qui se trouve aussi dans le fichier exécutable. Cinq minutes après son exécution, le script malveillant termine le processus du navigateur et demande à l’utilisateur de le relancer en utilisant le raccourci modifié.
Une extension de navigateur malveillante
Une extension malveillante est installée sur le navigateur lorsque l’utilisateur clique sur le raccourci. Cette imitation de Google Docs hors connexion est très convaincante puisqu’elle utilise la même icône et la même description. L’utilisateur pourrait se rendre compte que c’est un faux parce que la page n’est qu’en anglais.
Une fois installée et exécutée, l’extension malveillante commence à surveiller constamment tous les onglets ouverts dans le navigateur et envoie les informations au serveur C2 des cybercriminels. Si le programme détecte une adresse associée à Facebook dans les onglets ouverts, l’extension malveillante vérifie s’il y a un compte d’entreprise ou de la gestion des publicités de Facebook puis le pirate.
L’extension vole les informations des comptes Facebook auxquels la victime est connectée depuis son appareil, ainsi que les cookies de session active que le navigateur conserve et qui peuvent être utilisés pour se connecter au compte sans avoir à s’authentifier.
D’après certaines informations, le groupe à l’origine de ce programme malveillant serait actif depuis 2018. Plusieurs équipes de chercheurs pensent qu’il est d’origine vietnamienne. Le groupe aurait commencé à distribuer Ducktail en 2021.
Comment se protéger contre Ducktail
Pour se protéger de Ducktail et de menaces similaires, les employés doivent suivre les principes de base de sécurité informatique. Ils doivent notamment :
- Ne jamais télécharger les archives suspectes sur les ordinateurs professionnels si le lien a été envoyé par une source non fiable.
- Vérifier minutieusement les extensions de tous les fichiers téléchargés depuis Internet ou par e-mail avant de les ouvrir.
- Ne jamais cliquer sur un fichier qui ressemble à un document inoffensif mais qui a une extension EXE. Cela indique clairement qu’il s’agit d’un programme malveillant.
- Toujours installer une protection fiable sur tous les appareils professionnels. Cet outil vous avertit lorsqu’il y a un éventuel danger et interrompt les attaques à temps. Nos solutions détectent cette menace en donnant le verdict Win64.Ducktail.gen.