Новая фишинговая кампания Ducktail распространяет невиданную ранее вредоносную программу для кражи информации Windows, написанную на PHP и используемую для кражи учетных записей Facebook, данных браузера и криптовалютных кошельков.
Фишинговые кампании Ducktail были впервые обнаружены исследователями из WithSecure в июле 2022 года, которые связали эти атаки с вьетнамскими хакерами.
Эти кампании основывались на атаках социальной инженерии через LinkedIn, в результате которых вредоносное ПО .NET Core маскировалось под PDF-документ, якобы содержащий подробности о маркетинговом проекте.
Вредоносная программа нацеливалась на информацию, хранящуюся в браузерах, в основном на данные учетных записей Facebook Business, и передавала ее в частный канал Telegram, который выступал в качестве сервера C2. Похищенные учетные данные затем используются для финансовых махинаций или для вредоносной рекламы.
Теперь Zscaler сообщает об обнаружении признаков новой активности, связанной с обновленной кампанией Ducktail, которая использует PHP-скрипт для работы в качестве вредоносной программы для кражи информации в Windows.
Вредоносная программа для кражи информации на PHP
Ducktail заменил старую вредоносную программу NET Core для кражи информации, использовавшуюся в предыдущих кампаниях, на написанную на PHP.
Большинство поддельных приманок для этой кампании связаны с играми, файлами субтитров, видео для взрослых и взломанными приложениями MS Office. Они размещаются в формате ZIP на легальных файловых хостингах.
После выполнения установка происходит в фоновом режиме, в то время как жертва видит поддельные всплывающие окна “Проверка совместимости приложений” на переднем плане, ожидая установки поддельного приложения, присланного мошенниками.
В конечном итоге вредоносная программа извлекается в папку %LocalAppData%\Packages\PXT, которая включает локальный интерпретатор PHP.exe, различные скрипты, используемые для кражи информации, и вспомогательные инструменты.
Расширение сферы охвата таргетинга
В предыдущей кампании Ducktail нацеливалась на сотрудников организаций, работающих в финансовых или маркетинговых отделах компаний, которые, скорее всего, имели разрешение на создание и проведение рекламных кампаний на платформе социальных сетей.
Цель заключалась в том, чтобы взять под контроль эти учетные записи и направить платежи на их банковские счета или запустить собственные кампании в Facebook для продвижения Ducktail среди большего числа жертв.
Однако в последней кампании Zscaler заметил, что целевая аудитория была расширена и стала включать обычных пользователей Facebook и вытягивать любую ценную информацию, которая может храниться в их аккаунтах.
Тем не менее, если тип аккаунта определяется как бизнес-аккаунт, вредоносная программа пытается получить дополнительную информацию о способах оплаты, циклах, потраченных суммах, данных владельца, статусе верификации, принадлежащих ему страницах, адресе PayPal и т.д.
Вот ещё на днях о школе программирования для детей КодКрафт почитал, мне кажется это более чем интересная, важная и нужная для человека информация. Не верите, то тогда сами посмотрите.