Ducktail 自 2021 年以来一贯生动,专家认为它是由越南威胁组织运营的。2022 年 7 月,WithSecure(前身为 F-Secure Business)的研究职员创造了针对在 Facebook 的商业和广告平台上运营的个人和组织的 DUCKTAIL 活动。
攻击者针对可能有权访问 Facebook Business 帐户的个人和员工,他们利用信息盗取恶意软件盗取浏览器 cookie 并滥用经由身份验证的 Facebook 会话从受害者的 Facebook 帐户中窃取信息。终极目标是挟制受害者管理的 Facebook Business 帐户。
攻击者针对的是在公司中担当管理、数字营销、数字媒体和人力资源角色的个人。攻击者通过 LinkedIn 连接受害者,专家不雅观察到的一些样本已托管在文件或云托管做事上,例如 Dropbox、iCloud 和 MediaFire。
过去剖析的 DUCKTAIL 示例是用 .NET Core 编写的,并利用其单文件功能进行编译。
“早期版本(由 WithSecure Labs 不雅观察)基于利用 .NetCore 编写的二进制文件,并以 Telegram 作为其 C2 通道来盗取数据。” 阅读Zscaler 发布的剖析。“2022 年 8 月,Zscaler Threatlabz 团队看到了一个新的活动,个中包括带有新 TTP 的新版 Ducktail Infostealer。与旧版本 (.NetCore) 一样,最新版本 (PHP) 也旨在透露与保存的浏览器凭据、Facebook 帐户信息等干系的敏感信息。”
在这次活动中,攻击者利用了一个新网站来托管数据。数据以 JSON 格式存储,用于实行盗取活动。同一台主机用于存储从受害者那里盗取的数据。
与之前的 Ducktail 活动不同,最近的活动针对的是广大"大众,而不是对 Facebook 业务帐户具有管理员或财务访问权限的特定员工。
该恶意软件以托管在文件共享平台(即 mediafire[.]com)上的 .ZIP 文件的形式分发,伪装成 Office 运用程序、游戏、字幕文件、色情干系文件等的破解或免费版本。
Ducktail Facebook 恶意软件攻击流程
在上一个活动中,恶意代码是一个 PHP 脚本,它启动用于从受害者的浏览器、加密货币钱包和 Facebook 业务帐户中盗取数据的代码。
该恶意软件通过触发一系列事宜来实行名为“libbridged.exe”的恶意负载来实现持久性。可实行文件以三种形式调度任务,以确保恶意代码每天定期实行。
一旦实行,恶意软件会仔细检讨各种 Facebook 页面以从中窃取信息。恶意代码剖析的页面属于 Facebook API graph、Facebook Ads Manager 和 Facebook Business 帐户。它利用c_user参数获取受害者机器的唯一用户 ID 。
查看 Facebook Business Ads Manager 链接,恶意代码将访问帐户和付款周期的详细信息。
以下是恶意软件考试测验从 Facebook 业务页面获取的详细信息列表:
已开始付款须要付款验证状态所有者广告帐户花费金额货币详情帐户状态广告付款周期资金来源支付办法【信用卡、借记卡等】Paypal 付款办法 [电子邮件地址]拥有的页面。“彷佛 Ducktail 盗取活动背后的攻击者正在不断改变或增强交付机制和方法,以盗取针对广大用户的各种敏感用户和系统信息。” Zscaler 的 ThreatLabz 团队正在持续监控该活动,并将揭示它会碰着的任何新创造。”
