出现了一种名为“DuckLogs”的新恶意软件即服务 (MaaS) 操作,使低技能攻击者可以轻松访问多个模块以窃取信息、记录击键、访问剪贴板数据以及远程访问受感染主机。
DuckLogs 完全基于网络。它声称有数以千计的网络罪犯付费订阅以生成和启动 4,000 多个恶意软件版本。
运营商似乎为一些客户提供额外服务,帮助他们分发有效负载、删除文件的工具和扩展名转换器。
网络面板显示,超过 2,000 名网络犯罪分子正在使用该恶意平台,目前受害者人数超过 6,000 人。
Cyble 的恶意软件研究人员捕获了 DuckLogs 恶意软件,并发布了对他们发现的技术分析 。
DuckLogs 功能
DuckLogs 主要包括一个信息窃取程序和一个远程访问木马 (RAT) 组件,但它有 100 多个针对特定应用程序的单独模块。
以下是信息窃取组件针对的一些数据和应用程序的列表:
- 硬件和软件信息
- 存储在本地磁盘的文件
- 存储在 Web 浏览器中的帐户凭据和 cookie
- Thunderbird 和 Outlook 电子邮件
- Discord、Telegram、Signal 和 Skype 消息传递数据
- NordVPN、ProtonVPN、OpenVPN 和 CrypticVPN 帐户数据
- FileZilla 和 TotalCommander 数据
- Steam、Minecraft、Battle.Net 和 Uplay 帐户
- Metamask、Exodus、Coinomi、Atomic 和 Electrum 加密货币钱包
RAT 组件支持允许从命令和控制 (C2) 服务器获取文件并在主机上运行它们、显示崩溃屏幕、关闭、重新启动、注销或锁定设备或在浏览器中打开 URL 的功能。
其他 DuckLogs 模块允许记录击键以窃取敏感信息、剪辑器(通常用于劫持加密货币交易)和截屏工具。
Cyble 研究人员表示,该恶意软件还支持 Telegram 通知、加密日志和通信、代码混淆、进程挖空以在内存中启动有效负载、持久性机制以及绕过 Windows 用户帐户控制。
Cyble 的恶意软件研究人员捕获了 DuckLogs 恶意软件,并发布了对他们发现的技术分析 。
DuckLogs 功能
DuckLogs 主要包括一个信息窃取程序和一个远程访问木马 (RAT) 组件,但它有 100 多个针对特定应用程序的单独模块。
以下是信息窃取组件针对的一些数据和应用程序的列表:
- 硬件和软件信息
- 存储在本地磁盘的文件
- 存储在 Web 浏览器中的帐户凭据和 cookie
- Thunderbird 和 Outlook 电子邮件
- Discord、Telegram、Signal 和 Skype 消息传递数据
- NordVPN、ProtonVPN、OpenVPN 和 CrypticVPN 帐户数据
- FileZilla 和 TotalCommander 数据
- Steam、Minecraft、Battle.Net 和 Uplay 帐户
- Metamask、Exodus、Coinomi、Atomic 和 Electrum 加密货币钱包
RAT 组件支持允许从命令和控制 (C2) 服务器获取文件并在主机上运行它们、显示崩溃屏幕、关闭、重新启动、注销或锁定设备或在浏览器中打开 URL 的功能。
其他 DuckLogs 模块允许记录击键以窃取敏感信息、剪辑器(通常用于劫持加密货币交易)和截屏工具。
Cyble 研究人员表示,该恶意软件还支持 Telegram 通知、加密日志和通信、代码混淆、进程挖空以在内存中启动有效负载、持久性机制以及绕过 Windows 用户帐户控制。
基于 Web 的面板目前可在四个 clearnet 域上使用,并且似乎提供了强大的有效负载构建功能,以及用于将模块和功能添加到最终恶意软件构建中的选项。
此外,该构建器还提供了一些反规避选项,例如为 Windows Defender 添加排除、负载执行延迟或禁用主机上的任务管理器。
Cyble 表示,最初的感染媒介很可能是通过电子邮件(垃圾邮件、网络钓鱼)发生的。研究人员建议用户检查可疑消息的真实性,不要打开来自不受信任来源的链接。
此外,复制到剪贴板的敏感数据在粘贴后应仔细检查,以确保黑客没有更改交易目的地等细节。
另一个有用的预防措施是避免从种子或可疑站点下载可执行文件,并使安全软件保持最新状态
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的DuckLogs恶意软件服务声称拥有成千上万的“客户”
