Μια νέα καμπάνια phishing διαδίδει ένα νέο Windows info-stealing malware, που είναι γραμμένο σε PHP και χρησιμοποιείται για την κλοπή Facebook accounts, δεδομένων προγράμματος περιήγησης και cryptocurrency wallets. Η phishing καμπάνια ονομάζεται Ducktail, λόγω του malware που διανέμει.
Οι εκστρατείες phishing Ducktail αποκαλύφθηκαν για πρώτη φορά από ερευνητές της WithSecure τον Ιούλιο του 2022. Οι ερευνητές είχαν συνδέσει τις επιθέσεις αυτές με Βιετναμέζους hackers.
Αυτές οι καμπάνιες βασίστηκαν σε social engineering επιθέσεις μέσω του LinkedIn, προωθώντας .NET Core malware. Το κακόβουλο λογισμικό βρισκόταν μέσα σε ένα έγγραφο PDF που υποτίθεται ότι περιείχε πληροφορίες σχετικά με ένα marketing project.
Δείτε επίσης: Venus Ransomware: Στοχεύει εκτεθειμένες υπηρεσίες Remote Desktop
Οι hackers χρησιμοποιούσαν αυτό το κακόβουλο λογισμικό για να αποκτήσουν πρόσβαση σε πληροφορίες που ήταν αποθηκευμένες σε προγράμματα περιήγησης, εστιάζοντας σε δεδομένα Facebook Business accounts. Κλέβοντας credentials, οι hackers μπορούσαν μετά να πραγματοποιήσουν οικονομικές απάτες ή malvertising εκστρατείες.
Η νέα phishing καμπάνια ανακαλύφθηκε από ερευνητές της Zscaler, οι οποίοι ανέφεραν ότι έχουν εντοπίσει σημάδια μιας νέας καμπάνιας Ducktail που χρησιμοποιεί ένα PHP script για να λειτουργεί ως information-stealing malware.
Νέο PHP info-stealing malware
Για να μολύνουν τους χρήστες με το info-stealing malware που στοχεύει Facebook accounts, οι επιτιθέμενοι χρησιμοποιούν συνήθως “δολώματα” που σχετίζονται με παιχνίδια, subtitle files, βίντεο για ενήλικες και cracked MS Office εφαρμογές. Αυτά φιλοξενούνται σε μορφή ZIP σε νόμιμες υπηρεσίες φιλοξενίας αρχείων.
Κατά την εκτέλεση, πραγματοποιείται η εγκατάσταση στο παρασκήνιο ενώ το θύμα βλέπει ψεύτικα αναδυόμενα παράθυρα “Έλεγχος συμβατότητας εφαρμογής” στο frontend, περιμένοντας να εγκατασταθεί μια ψεύτικη εφαρμογή.
Δείτε επίσης: Πρόστιμο στην Shein: Δεν ειδοποίησε 39 εκατ. χρήστες ότι κλάπηκαν τα credentials τους
Το κακόβουλο λογισμικό θα εξαχθεί τελικά στο φάκελο %LocalAppData%\Packages\PXT, ο οποίος περιλαμβάνει το PHP.exe local interpreter, διάφορα scripts για την κλοπή πληροφοριών και εργαλεία υποστήριξης.
Το κακόβουλο λογισμικό επιτυγχάνει persistence και ταυτόχρονα, ένα αρχείο TMP που δημιουργείται, εκτελεί μια παράλληλη διαδικασία για την εκκίνηση του stealer component.
Σύμφωνα με τις παρατηρήσεις των ερευνητών, ο κώδικας του info-stealing malware που στοχεύει Facebook accounts, είναι ένα obfuscated (Base64) PHP script, το οποίο αποκρυπτογραφείται απευθείας στη μνήμη χωρίς να αγγίζει το δίσκο, ελαχιστοποιώντας τις πιθανότητες ανίχνευσης.
Πέρα από Facebook accounts, το info-stealing malware κλέβει και άλλα ευαίσθητα δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης, browser cookies, cryptocurrency wallet και και βασικά δεδομένα συστήματος.
Οι πληροφορίες που συλλέγονται αποθηκεύονται σε ένα JSON website που φιλοξενεί επίσης account tokens και δεδομένα που απαιτούνται για την εκτέλεση απάτης στη συσκευή.
Το νέο malware στοχεύει περισσότερους χρήστες
Στην προηγούμενη Ducktail phishing καμπάνια, το malware στόχευε υπαλλήλους οργανισμών εργάζονταν κυρίως στο οικονομικό τμήμα ή το τμήμα μάρκετινγκ.
Σε αυτή την πρόσφατη καμπάνια, ωστόσο, οι ερευνητές της Zscaler παρατήρησαν ότι το εύρος στόχευσης έχει διευρυνθεί και περιλαμβάνει τακτικούς χρήστες του Facebook. Στόχος είναι να συλλέξει όσο το δυνατόν περισσότερες πολύτιμες πληροφορίες.
Δείτε επίσης: Η ομάδα Guacamaya χάκαρε την κυβέρνηση της Κολομβίας: Διέρρευσαν ταυτότητες μυστικών πρακτόρων της AFP
Ωστόσο, στις περιπτώσεις των Facebook Business accounts, το info-stealing malware θα προσπαθήσει να ανακτήσει πρόσθετες πληροφορίες σχετικά με τους τρόπους πληρωμής, τα στοιχεία κατόχου, την κατάσταση επαλήθευσης, τις σελίδες ιδιοκτησίας, τη διεύθυνση PayPal και άλλα.
Συνιστάται στους χρήστες να είναι προσεκτικοί με τα άμεσα μηνύματα στο LinkedIn και να αντιμετωπίζουν τα αιτήματα λήψης αρχείων με ιδιαίτερη προσοχή. Ιδανικά, πρέπει να αποφεύγουν τη λήψη πειρατικού λογισμικού και γενικά τη λήψη αρχείων και προγραμμάτων από μη αξιόπιστες πηγές.
Περισσότερα μπορείτε να μάθετε στην έκθεση της Zscaler.
Πηγή: bleepingcomputer