Theo nghiên cứu gần đây nhất từ Zscaler, một biến thể PHP của phần mềm độc hại đánh cắp thông tin được gọi là Ducktail đã được tìm thấy trong tự nhiên đang được phân phối dưới dạng trình cài đặt bị bẻ khóa cho các ứng dụng và trò chơi hợp pháp Phiên bản mới nhất (PHP) nhằm mục đích lọc thông tin nhạy cảm liên quan đến thông tin đăng nhập trình duyệt đã lưu, thông tin tài khoản Facebook, v.v. , giống như các phiên bản trước đó (. NetCore) đã làm. Tarun Dewan và Stuti Chaturvedi, các nhà nghiên cứu của Zscaler ThreatLabz, cho biết  Một tác nhân đe dọa người Việt Nam không xác định chịu trách nhiệm cho Ducktail, lần đầu tiên xuất hiện trên bối cảnh mối đe dọa vào cuối năm 2021. Phần mềm độc hại chủ yếu được tạo ra để đánh cắp tài khoản kinh doanh và quảng cáo trên Facebook WithSecure (trước đây là F-Secure), một công ty an ninh mạng của Phần Lan, lần đầu tiên phát hiện ra hoạt động tội phạm mạng có động cơ tài chính vào cuối tháng 7 năm 2022 Biến thể PHP của phần mềm độc hại được phát hiện vào tháng 8 năm 2022 thiết lập kết nối đến một trang web mới được lưu trữ để lưu trữ dữ liệu ở định dạng JSON, trái ngược với các phiên bản phần mềm độc hại trước đó được phát hiện sử dụng Telegram làm kênh ra lệnh và kiểm soát (C2) Zscaler đã phát hiện ra các chuỗi tấn công liên quan đến việc ẩn phần mềm độc hại bên trong kho lưu trữ ZIP được lưu trữ trên các trang web chia sẻ tệp như mediafire. com dưới vỏ bọc của các phiên bản bẻ khóa của Microsoft Office, trò chơi và các tệp khiêu dâm Tập lệnh PHP cuối cùng đã khởi chạy mã để đánh cắp và lọc dữ liệu từ trình duyệt web, ví tiền điện tử và tài khoản Facebook Business được kích hoạt khi thực thi trình cài đặt Chiến dịch Ducktail được cập nhật cũng hướng đến người dùng Facebook thông thường, cho thấy rằng các cá nhân đứng sau phần mềm độc hại đang mở rộng đối tượng mục tiêu của họ thay vì chỉ tập trung vào các nhân viên có quyền truy cập Quản trị viên hoặc Tài chính vào tài khoản Facebook Business Theo các nhà nghiên cứu, "có vẻ như các tác nhân đe dọa đằng sau chiến dịch đánh cắp Ducktail đang liên tục thay đổi hoặc tăng cường các cơ chế phân phối và cách tiếp cận để đánh cắp nhiều loại thông tin hệ thống và người dùng nhạy cảm nhắm mục tiêu đến người dùng nói chung. " Tìm thấy bài viết này thú vị? Theo phát hiện mới nhất từ Zscaler, phiên bản PHP của phần mềm độc hại đánh cắp thông tin có tên Ducktail đã được phát hiện đang được phân phối dưới dạng trình cài đặt bẻ khóa cho các ứng dụng và trò chơi hợp pháp. "Giống như các phiên bản cũ hơn (. NetCore), phiên bản mới nhất (PHP) cũng nhằm mục đích lọc thông tin nhạy cảm liên quan đến thông tin đăng nhập trình duyệt đã lưu, thông tin tài khoản Facebook, v.v. ," Các nhà nghiên cứu của Zscaler ThreatLabz, Tarun Dewan và Stuti Chaturvedi cho biết Ducktail, xuất hiện trong bối cảnh mối đe dọa vào cuối năm 2021, được quy cho một tác nhân đe dọa giấu tên người Việt Nam, với phần mềm độc hại được thiết kế chủ yếu để chiếm quyền điều khiển các tài khoản quảng cáo và kinh doanh trên Facebook Hoạt động tội phạm mạng có động cơ tài chính lần đầu tiên được ghi nhận bởi công ty an ninh mạng Phần Lan WithSecure (trước đây là F-Secure) vào cuối tháng 7 năm 2022 Mặc dù các phiên bản trước của phần mềm độc hại được phát hiện sử dụng Telegram làm kênh ra lệnh và kiểm soát (C2) để lấy cắp thông tin, biến thể PHP được phát hiện vào tháng 8 năm 2022 thiết lập kết nối đến một trang web mới được lưu trữ để lưu trữ dữ liệu ở định dạng JSON Các chuỗi tấn công mà Zscaler quan sát được đòi hỏi phải nhúng phần mềm độc hại vào các tệp lưu trữ ZIP được lưu trữ trên các dịch vụ chia sẻ tệp như mediafire[. ]com, giả dạng các phiên bản bẻ khóa của Microsoft Office, trò chơi và các tệp liên quan đến khiêu dâm Đổi lại, việc thực thi trình cài đặt sẽ kích hoạt tập lệnh PHP để cuối cùng khởi chạy mã chịu trách nhiệm đánh cắp và lấy cắp dữ liệu từ trình duyệt web, ví tiền điện tử và tài khoản Facebook Business Ngoài ra, trong một dấu hiệu cho thấy những kẻ đứng sau phần mềm độc hại đang mở rộng phạm vi nhắm mục tiêu của chúng, thay vì chỉ nhắm mục tiêu vào những nhân viên có quyền truy cập Quản trị viên hoặc Tài chính vào tài khoản Facebook Business, chiến dịch Ducktail được làm mới cũng nhắm đến người dùng Facebook thông thường. Các nhà nghiên cứu cho biết: “Có vẻ như các tác nhân đe dọa đằng sau chiến dịch đánh cắp Ducktail đang liên tục thực hiện các thay đổi hoặc cải tiến trong cơ chế phân phối và cách tiếp cận để đánh cắp nhiều loại thông tin hệ thống và người dùng nhạy cảm nhắm mục tiêu đến người dùng nói chung”. Tìm thấy bài viết này thú vị? Các chuyên gia đã phát hiện ra phiên bản PHP của phần mềm độc hại đánh cắp thông tin có tên Ducktail, lây lan dưới dạng trình cài đặt bị bẻ khóa cho các ứng dụng và trò chơi hợp phápCác nhà nghiên cứu của Zscaler đã phát hiện ra phiên bản PHP của phần mềm độc hại đánh cắp thông tin được theo dõi là Ducktail. Mã độc được phân phối dưới dạng trình cài đặt ứng dụng miễn phí/bẻ khóa cho nhiều ứng dụng bao gồm trò chơi, ứng dụng Microsoft Office, Telegram và các ứng dụng khác. Ducktail đã hoạt động từ năm 2021, các chuyên gia tin rằng nó được điều hành bởi một nhóm đe dọa Việt Nam. Vào tháng 7 năm 2022, các nhà nghiên cứu từ WithSecure (trước đây là F-Secure Business) đã phát hiện ra một chiến dịch DUCKTAIL nhắm mục tiêu đến các cá nhân và tổ chức hoạt động trên nền tảng Quảng cáo và Kinh doanh của Facebook Các tác nhân đe dọa nhắm mục tiêu đến các cá nhân và nhân viên có thể có quyền truy cập vào tài khoản Facebook Business, chúng sử dụng phần mềm độc hại đánh cắp thông tin để đánh cắp cookie của trình duyệt và lạm dụng các phiên Facebook đã xác thực để đánh cắp thông tin từ tài khoản Facebook của nạn nhân Mục tiêu cuối cùng là chiếm đoạt tài khoản Facebook Business do nạn nhân quản lý Các tác nhân đe dọa nhắm mục tiêu đến các cá nhân có vai trò quản lý, tiếp thị kỹ thuật số, phương tiện kỹ thuật số và nhân sự trong các công ty. Những kẻ tấn công đã kết nối các nạn nhân thông qua LinkedIn, một số mẫu được các chuyên gia quan sát đã được lưu trữ trên tệp hoặc dịch vụ lưu trữ đám mây, chẳng hạn như Dropbox, iCloud và MediaFire Các mẫu DUCKTAIL được phân tích trước đây được viết bằng. NET Core và được biên dịch bằng tính năng tệp đơn của nó “Các phiên bản trước đó (được quan sát bởi WithSecure Labs) dựa trên tệp nhị phân được viết bằng cách sử dụng. NetCore với Telegram là Kênh C2 của nó để trích xuất dữ liệu. ” đọc phân tích được xuất bản bởi Zscaler. “Vào tháng 8 năm 2022, nhóm Zscaler Threatlabz đã thấy một chiến dịch mới bao gồm một phiên bản mới của Ducktail Infostealer với các TTP mới. Giống như các phiên bản cũ hơn (. NetCore), phiên bản mới nhất (PHP) cũng nhằm mục đích lọc thông tin nhạy cảm liên quan đến thông tin đăng nhập trình duyệt đã lưu, thông tin tài khoản Facebook, v.v. ” Trong chiến dịch này, những kẻ đe dọa đã sử dụng một trang web mới để lưu trữ dữ liệu. Dữ liệu được lưu trữ ở định dạng JSON và được sử dụng để thực hiện các hoạt động đánh cắp. Cùng một máy chủ được sử dụng để lưu trữ dữ liệu bị đánh cắp từ các nạn nhân Không giống như các chiến dịch Ducktail trước đây, chiến dịch gần đây nhất nhắm mục tiêu đến công chúng nói chung, thay vì các nhân viên cụ thể có quyền truy cập Quản trị viên hoặc Tài chính vào tài khoản Facebook Business Phần mềm độc hại được phân phối trong. Các tệp ZIP được lưu trữ trên các nền tảng chia sẻ tệp (tôi. e. phương tiện truyền thông[. ]com), đóng giả là phiên bản bẻ khóa hoặc miễn phí của các ứng dụng Office, trò chơi, tệp phụ đề, tệp liên quan đến khiêu dâm, v.v. Trong chiến dịch cuối cùng, mã độc là một tập lệnh PHP khởi chạy mã được sử dụng để đánh cắp dữ liệu từ trình duyệt, ví tiền điện tử và tài khoản Facebook Business của nạn nhân Phần mềm độc hại đạt được sự bền bỉ bằng cách kích hoạt một loạt sự kiện để thực thi tải trọng độc hại có tên là “libbridged. người cũ. ”Lập kế hoạch thực thi các tác vụ ở ba dạng để đảm bảo rằng mã độc được thực thi hàng ngày và theo các khoảng thời gian đều đặn Sau khi thực thi, phần mềm độc hại sẽ xem xét kỹ lưỡng các trang Facebook khác nhau để đánh cắp thông tin từ chúng. Các trang bị mã độc phân tích thuộc về biểu đồ Facebook API, Trình quản lý quảng cáo Facebook và tài khoản Facebook Business. Nó lấy ID người dùng duy nhất của máy nạn nhân bằng cách sử dụng đối số c_user Nhìn qua các liên kết Trình quản lý quảng cáo doanh nghiệp của Facebook, mã độc sẽ truy cập thông tin chi tiết về tài khoản và chu kỳ thanh toán Dưới đây là danh sách chi tiết mà phần mềm độc hại cố gắng tìm nạp từ các trang Facebook Business.
“Có vẻ như các tác nhân đe dọa đằng sau chiến dịch đánh cắp Ducktail đang liên tục thực hiện các thay đổi hoặc cải tiến trong cơ chế phân phối và cách tiếp cận để đánh cắp nhiều loại thông tin hệ thống và người dùng nhạy cảm nhắm mục tiêu đến người dùng nói chung. ” kết thúc báo cáo. “Nhóm ThreatLabz của Zscaler đang liên tục theo dõi chiến dịch và sẽ đưa ra bất kỳ phát hiện mới nào mà họ phát hiện ra. ” |
