黑客正在使用 Ducktail 恶意软件的新 PHP 变体来攻击 Facebook Business 帐户、加密货币和凭证信息。根据 ZScaler 的说法,这种新的恶意软件迭代旨在像其前身一样进行信息窃取攻击,但在操作上有一定的差异。
Ducktail 是几年前起源于越南的信息窃取者。正如 WithSecure 所记录的那样,它在 2022 年 7 月获得了升级,以针对使用 交工程作为载体的 LinkedIn 用户的新活动。
现在,ZScaler 发现新的基于 PHP 的 Ducktail 变体与之前基于 .NetCore 的Ducktail 变体具有相同的恶意意图,即窃取保存在 Web 浏览器中的凭据相关信息、Facebook 帐户信息等。
不同之处在于它如何处理信息盗窃。基于 PHP 的 Ducktail 不是利用 Telegram 作为命C2渠道来泄露数据,而是将被盗数据以 JSON 格式泄露并随后存储在新托管的 站上。
新的 Ducktail 变种正在通过破解版或免费版的 Office 应用程序、游戏、字幕文件、色情相关文件等进行分发,目标是普通大众,而不是具有特定组织角色的员工,这表明其惯用的作案方式发生了转变。
Ducktail 恶意软件背后的攻击者出于经济动机并谨慎选择目标,例如管理角色或财务/会计、数字媒体或人力资源部门可能有权访问组织财务资源的目标。
ZScaler 指出:“似乎 Ducktail 窃取活动背后的攻击者正在不断地改变或增强交付机制和方法,以窃取针对广大用户的各种敏感用户和系统信息。”
该公司发现,攻击者继续在 Mediafire 等文件托管服务上托管恶意软件,主要是在 .ZIP 存档中。下载、提取和安装后,它会执行两个不同的进程,其中一个在前端——一个“检查应用程序兼容性”GUI 对话框,用于隐藏下面详述的潜在恶意。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!