بدافزار جدید سرقت اطلاعات حساب‌های فیس بوک را هدف قرار می‌دهد

یک کمپین فیشینگ جدید به نام Ducktail در حال انتشار یک بدافزار سرقت اطلاعات ویندوز است که با زبان PHP نوشته شده و برای سرقت حساب های فیس بوک، داده های مرورگر و کیف پول ارزهای دیجیتال استفاده می شود.

به گزارش تک ناک کمپین های فیشینگ Ducktail برای اولین بار توسط محققان WithSecure در جولای 2022 فاش شدند که این حملات را به هکرهای ویتنامی مرتبط دانستند.
این بدافزار اطلاعات ذخیره شده در مرورگرها را با تمرکز بر داده های حساب کاربری فیس بوک مورد هدف قرار داده و آن را به یک کانال تلگرام خصوصی که به عنوان یک سرور C2 عمل می کند، ارسال می کند. سپس از این اطلاعات دزدیده شده برای کلاهبرداری های مالی یا انجام تبلیغات مخرب استفاده می شود.
Zscaler اکنون نشانه‌هایی از فعالیت جدید را گزارش می‌کند که شامل یک کمپین Ducktail نوسازی شده است که از یک اسکریپت PHP به عنوان یک بدافزار برای سرقت اطلاعات ویندوز استفاده می‌کند.

یک بدافزار سرقت اطلاعات PHP
Ducktail اکنون بدافزار قدیمی سرقت اطلاعات NET Core که در کمپین های قبلی استفاده می شد را با بدافزار نوشته شده با PHP جایگزین کرده است.
بیشتر فریب های جعلی برای این کمپین مربوط به بازی ها، فایل های زیرنویس، ویدیوهای بزرگسالان و برنامه های کرک شده MS Office است. این فایل ها در قالب ZIP در سرویس های میزبانی فایل قانونی میزبانی می شوند.
هنگامی که بدافزار اجرا شد، نصب در پس‌زمینه انجام می‌شود در حالی که قربانی پنجره‌های جعلی «بررسی سازگاری برنامه» را در قسمت جلویی می‌بیند و منتظر یک برنامه جعلی ارسال شده توسط کلاهبرداران برای نصب است.
بدافزار در نهایت به پوشه %LocalAppData%\Packages\PXT که شامل مفسر محلی PHP.exe، اسکریپت‌های مختلف مورد استفاده برای سرقت اطلاعات و ابزارهای پشتیبانی می‌شود، استخراج می‌شود.

بدافزار PHP با افزودن وظایف برنامه ریزی شده روی میزبان برای اجرای روزانه و در فواصل زمانی منظم، پایداری را به دست می آورد. در همان زمان، یک فایل TMP تولید شده یک فرآیند موازی را برای راه‌اندازی مولفه سرقت اجرا می‌کند.

کد سارق یک اسکریپت PHP مبهم (Base64) است که مستقیماً روی Ram بدون لمس دیسک رمزگشایی می شود و شانس شناسایی را به حداقل می رساند.

داده‌های هدفمند شامل جزئیات حساب فیس‌بوک، داده‌های حساس ذخیره شده در مرورگرها، کوکی‌های مرورگر، کیف پول ارزهای دیجیتال و اطلاعات حساب و داده‌های اولیه سیستم است.
اطلاعات جمع‌آوری‌شده دیگر به تلگرام منتقل نمی‌شود، بلکه در یک وب‌سایت JSON که توکن‌های حساب و داده‌های مورد نیاز برای انجام کلاهبرداری روی دستگاه را نیز میزبانی می‌کند، ذخیره می‌شود.
گسترش دامنه هدف گذاری
در کمپین Ducktail قبلی بدافزار کارکنان سازمان‌هایی را هدف قرار داد که در بخش مالی یا بازاریابی شرکت‌ها کار می‌کردند که احتمالاً مجوز ایجاد و اجرای کمپین‌های تبلیغاتی در پلتفرم رسانه‌های اجتماعی را داشتند.
هدف کنترل آن حساب‌ها و پرداخت‌های مستقیم به حساب‌های بانکی آن‌ها یا اجرای کمپین‌های فیس‌بوک برای تبلیغ کمپین Ducktail برای قربانیان بیشتر بود.
با این حال، در آخرین کمپین،Zscaler متوجه شد که دامنه هدف‌گیری گسترده شده است تا کاربران عادی فیس‌بوک را شامل شود و هر اطلاعات ارزشمندی را که ممکن است در حساب‌های خود ذخیره کرده‌اند، جمع‌آوری کند.

با این حال، اگر نوع حساب به عنوان یک حساب تجاری تعیین شود، بدافزار تلاش می‌کند اطلاعات بیشتری درباره روش‌های پرداخت، چرخه‌ها، مبالغ خرج شده، جزئیات مالک، وضعیت تأیید ، آدرس PayPal و موارد دیگر دریافت کند.

تکامل Ducktail و تلاش برای فرار از نظارت بعدی توسط محققان امنیتی نشان می دهد که بازیگران تهدید به عملیات سودآور خود ادامه می دهند.
به کاربران توصیه می‌شود که مراقب پیام‌های فوری در لینکدین باشند و با احتیاط بیشتری با درخواست‌های دانلود فایل، به‌ویژه نرم‌افزارهای کرک شده، مدل های بازی و تقلب‌ها برخورد کنند.