Các nhà nghiên cứu bảo mật đã đặt tên cho chiến dịch này là Ducktail. Dựa vào các bằng chứng thu thập được có thể thấy phần mềm độc hại được phát triển và phân phối bởi một nhóm tin tặc tại Việt Nam từ cuối năm 2021.
Mohammad Kazem Hassan Nejad, một nhà nghiên cứu và phân tích phần mềm độc hại tại WithSecure Intelligence, cho biết: “Chúng tôi tin rằng kẻ gian đã lựa chọn cẩn thận các mục tiêu để tăng cơ hội thành công và không bị chú ý”.
Đầu tiên, kẻ gian sẽ tìm nạn nhân thông qua LinkedIn, lựa chọn những nhân viên có khả năng đang nắm quyền truy cập tài khoản Facebook Business.
Sau đó, kẻ gian sẽ sử dụng kỹ thuật xã hội để thuyết phục nạn nhân tải xuống các tệp có liên quan đến thương hiệu, sản phẩm (nhằm cố tỏ ra hợp pháp nhưng có chứa phần mềm độc hại) được lưu trữ trên Dropbox, iCloud…
Khi xâm nhập hệ thống thành công, Ducktail sẽ đánh cắp cookies của trình duyệt và lấy thông tin tài khoản Facebook của nạn nhân, bao gồm cả mã xác thực 2 yếu tố.
Kẻ gian sẽ tận dụng các đặc quyền mới để thay đổi thông tin thẻ trên tài khoản nhằm chuyển các khoản thanh toán vào tài khoản của họ, hoặc để chạy các chiến dịch quảng cáo trên Facebook bằng tiền của nạn nhân.
Ngay khi phát hiện vấn đề, WithSecure đã báo cáo với Meta và nói rằng không rõ hiện tại có bao nhiêu người dùng có khả năng bị ảnh hưởng bởi chiến dịch Ducktail.
Chia sẻ với TechCrunch, người phát ngôn của Meta nói rằng: “Chúng tôi hoan nghênh các nghiên cứu bảo mật về các mối đe dọa nhắm vào nền tảng. Vì phần mềm độc hại này thường được tải xuống từ bên ngoài, do đó, chúng tôi khuyến khích mọi người nên thận trọng về phần mềm mà họ cài đặt trên thiết bị”.