Μια νέα λειτουργία malware-as-a-service (MaaS) με την ονομασία «DuckLogs» έχει εμφανιστεί, δίνοντας στους χάκερ χαμηλής ειδίκευσης εύκολη πρόσβαση σε πολλαπλά modules για να κλέψουν πληροφορίες, να αποκτήσουν πρόσβαση σε δεδομένα clipboard και απομακρυσμένη πρόσβαση στον παραβιασμένο host.
Δείτε επίσης: Πρωτόκολλο DeFi Ankr: Κλάπηκαν 5 εκ. δολάρια λόγω σφάλματος
Το DuckLogs είναι μια διαδικτυακή συνδρομητική υπηρεσία που παρέχει πρόσβαση σε εργαλεία για τη δημιουργία και την εκτόξευση κακόβουλου λογισμικού.
Οι χάκερ φαίνεται να παρέχουν πρόσθετες υπηρεσίες σε ορισμένους πελάτες, βοηθώντας τους να διανείμουν το payload, ένα εργαλείο για το drop αρχείων και ένα πρόγραμμα αλλαγής επεκτάσεων.
Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι
Πώς να Σαρώσετε με Ασφάλεια QR Codes;
OpenAI: Hackers παρεμβαίνουν στις εκλογές χρησιμοποιώντας AI
Δείτε επίσης: Redigo malware: Εγκαθιστά backdoor στους Redis servers
Το web panel δείχνει ότι περισσότεροι από 2.000 εγκληματίες του κυβερνοχώρου χρησιμοποιούν την κακόβουλη πλατφόρμα και ο τρέχων αριθμός θυμάτων είναι πάνω από 6.000.
Το κακόβουλο λογισμικό εντοπίστηκε από τους ερευνητές της Cyble και δημοσίευσαν μια ανάλυση των ευρημάτων τους.
Χαρακτηριστικά του DuckLogs
Το DuckLogs είναι πρωτίστως ένα information stealer και ένα remote access trojan (RAT) component, αλλά έχει πάνω από 100 μοναδικά modules που στοχεύουν συγκεκριμένες εφαρμογές.
Ακολουθεί μια λίστα με ορισμένα από τα δεδομένα και τις εφαρμογές που στοχεύει το info-stealing component:
- Hardware και software πληροφορίες
- Αρχεία αποθηκευμένα στους τοπικούς δίσκους
- Account credentials και cookies που αποθηκεύονται στους web browsers
- Thunderbird και Outlook emails
- Discord, Telegram, Signal, και Skype δεδομένα μηνυμάτων
- Δεδομένα λογαριασμών NordVPN, ProtonVPN, OpenVPN και CrypticVPN
- FileZilla και TotalCommander δεδομένα
- Λογαριασμούς Steam, Minecraft, Battle.Net και Uplay
- Metamask, Exodus, Coinomi, Atomic, and Electrum cryptocurrency wallets
Το RAT component υποστηρίζει λειτουργίες που επιτρέπουν την ανάκτηση αρχείων από τον command and control (C2) server και την εκτέλεση τους στον host, την εμφάνιση μιας οθόνης σφάλματος, τον τερματισμό λειτουργίας, την επανεκκίνηση, την αποσύνδεση ή το κλείδωμα της συσκευής ή το άνοιγμα διευθύνσεων URLs στο πρόγραμμα περιήγησης.
Άλλα λειτουργικά modules DuckLogs επιτρέπουν το logging keystrokes για την κλοπή ευαίσθητων πληροφοριών, ένα clipper (συνήθως χρησιμοποιείται για το hijack συναλλαγών cryptocurrency) και ένα εργαλείο για τη λήψη screenshot.
Δείτε επίσης: Schoolyard Bully Android malware: Κλέβει Facebook accounts
Σύμφωνα με τους ερευνητές της Cyble, το κακόβουλο λογισμικό είναι επίσης εξοπλισμένο με ειδοποιήσεις Telegram, κρυπτογραφημένα logs και δυνατότητες επικοινωνίας, code obfuscation, διαδικασία hollowing για την εκτόξευση payload στη μνήμη και μηχανισμό persistence. Επιπλέον, είναι σε θέση να παρακάμψει το User Account Control των Windows.
Το web-based panel είναι προς το παρόν διαθέσιμο σε τέσσερα domain clearnet και φαίνεται να παρέχει ισχυρές δυνατότητες δημιουργίας payload με επιλογές για τα modules και τις λειτουργίες που θα προστεθούν στην τελική κατασκευή malware.
Επιπλέον, ο builder σας επιτρέπει να προσθέσετε μέτρα anti-evasion, όπως η επιλογή αποκλεισμού του Windows Defender, η καθυστέρηση εκτέλεσης του ωφέλιμου φορτίου ή η απενεργοποίηση του Task Manager στον host.
Οι ερευνητές της Cyble δήλωσαν ότι ο πρώτος φορέας μόλυνσης σχετίζεται πιθανότατα με το email (spam, phishing). Συνέστησαν στους χρήστες να διπλοελέγχουν τη γνησιότητα κάθε μηνύματος που θεωρούν ύποπτο και να μην ανοίγουν links από άγνωστες ή αναξιόπιστες πηγές.
Επιπλέον, τα ευαίσθητα δεδομένα που αντιγράφονται στο πρόχειρο θα πρέπει να ελέγχονται προσεκτικά μετά την επικόλλησή τους για να διασφαλιστεί ότι οι χάκερ δεν έχουν αλλάξει λεπτομέρειες όπως ο προορισμός μιας συναλλαγής.
Θα πρέπει επίσης να λαμβάνονται προφυλάξεις για την αποφυγή λήψης εκτελέσιμων αρχείων από άγνωστες πηγές και να διατηρείται ενημερωμένο το λογισμικό ασφαλείας.
Πηγή πληροφοριών: bleepingcomputer.com