Ora che i social network a indirizzo professionale sono nel mirino nelle campagne di spear phishing non stupisce che i cyber criminali sviluppino malware ad hoc per colpire l’utenza dei social dei professionisti. È proprio la popolarità crescente di questi canali a renderli appetibili per il cybercrime, che sono alla continua ricerca di pretesti e canali per alimentare i propri guadagni. Il malware sviluppato per le piattaforme social come Facebook è stato finora relativamente poco diffuso grazie ai meccanismi di sicurezza implementati dalle piattaforme, ma era questione di tempo perché i criminali informatici trovassero il modo di aggirarli con successo.

L’esempio più recente è una scoperta di WithSecure: si tratta di Ducktail, un infostealer in circolazione dalla seconda metà del 2021, che prende di mira individui con ruoli manageriali, in marketing digitale, media digitali e risorse umane con l’obiettivo di appropriarsi di account aziendali a scopo di lucro. I ricercatori reputano che l'operazione sia da ricondurre a un threat actor vietnamita motivato finanziariamente. Ducktail include funzionalità specificamente progettate per l’hijacking di account aziendali Facebook. Sebbene il social sia stato associato in passato ad altre campagne malware, le sue funzionalità differiscono.

Il malware è progettato per rubare i cookie del browser e sfruttare le sessioni autenticate di Facebook per sottrarre informazioni dall'account delle vittime e, in ultima analisi, appropriarsi di qualsiasi account Facebook Business a cui la vittima stessa ha accesso. Gli esperti di WithSecure hanno scoperto che Ducktail adesca le vittime tramite LinkedIn, da cui seleziona gli utenti che con un accesso di alto livello a un account Facebook Business, in particolare quelli con privilegi di amministrazione. Il codice viene continuamente aggiornato nel tentativo di migliorare la sua capacità di aggirare le funzioni di sicurezza di Facebook e di passare inosservato. Le soluzioni di protezione degli endpoint (EPP) e di endpoint detection and response (EDR) sono di supporto per bloccare questi attacchi, ma occorre anche una buona dose di prudenza da parte delle potenziali vittime.

Gli esperti sottolineano infatti che chi ricopre un ruolo che prevede l'accesso come amministratore degli account dei social media aziendali, dovrebbe interagire con molta cautela con gli altri utenti dei social media, soprattutto quando si ha a che fare con allegati o link inviati da persone con cui non si ha familiarità.