一项新的 Ducktail 网络钓鱼活动正在传播一种前所未见的 Windows 信息窃取恶意软件,该恶意软件用 PHP 编写,用于窃取 Facebook 帐户、浏览器数据和加密货币钱包。
2022 年 7 月,WithSecure 的研究人员首次披露了Ducktail 网络钓鱼活动,他们将这些攻击与越南黑客联系起来。
这些活动依赖于通过 LinkedIn 进行的社会工程攻击,推动 .NET Core 恶意软件伪装成 PDF 文档,据称其中包含有关营销项目的详细信息。
该恶意软件针对存储在浏览器中的信息,重点关注 Facebook Business帐户数据,并将其泄露到充当 C2 服务器的私人 Telegram 频道。这些被盗的凭证随后被用于金融欺诈或进行恶意广告。
Zscaler 现在报告发现了新活动的迹象,涉及更新后的 Ducktail 活动,该活动使用 PHP 脚本充当 Windows 信息窃取恶意软件。
一个 PHP 信息窃取恶意软件
Ducktail 现在已经用 PHP 编写的恶意软件替换了以前活动中使用的旧 NET Core 信息窃取恶意软件。
该活动的大部分假诱饵与游戏、字幕文件、成人视频和破解的 MS Office 应用程序有关。这些以 ZIP 格式托管在合法文件托管服务上。
执行时,安装在后台进行,而受害者在前端看到虚假的“检查应用程序兼容性”弹出窗口,等待诈骗者发送的虚假应用程序安装。
恶意软件最终会被解压到 %LocalAppData%\Packages\PXT 文件夹中,其中包括 PHP.exe 本地解释器、用于窃取信息的各种脚本以及支持工具,如下图所示。
PHP 恶意软件通过在主机上添加计划任务以每天和定期执行来实现持久性。同时,生成的 TMP 文件会运行一个并行进程来启动窃取器组件。
窃取者的代码是一个经过混淆的 (Base64) PHP 脚本,它直接在内存上破译而不接触磁盘,从而最大限度地减少被检测到的机会。
目标数据包括广泛的 Facebook 帐户详细信息、存储在浏览器中的敏感数据、浏览器 cookie、加密货币钱包和帐户信息以及基本系统数据。
收集的信息不再泄露到 Telegram,而是存储在 JSON 网站中,该网站还托管帐户令牌和执行设备欺诈所需的数据。
扩大定位范围
在之前的活动中,Ducktail 针对在公司财务或营销部门工作的组织的员工,他们可能有权在社交媒体平台上创建和运行广告活动。
目标是控制这些账户并直接向他们的银行账户付款,或开展他们自己的 Facebook 活动,以向更多受害者宣传 Ducktail。
然而,在最新的活动中,Zscaler 注意到目标范围已经扩大到包括普通 Facebook 用户,并窃取他们可能存储在其帐户中的任何有价值的信息。
尽管如此,如果帐户类型被确定为企业帐户,恶意软件将尝试获取有关付款方式、周期、花费金额、所有者详细信息、验证状态、拥有页面、PayPal 地址等的其他信息。
Ducktail 的演变和试图逃避安全研究人员随后的监控表明威胁参与者的目标是继续他们的盈利业务。
建议用户注意LinkedIn上的即时消息,并特别小心处理文件下载请求,尤其是破解软件、游戏模组和作弊。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的PHP信息窃取恶意软件以Facebook帐户为目标
