新的 PHP 版本的 Ducktail 恶意软件劫持 Facebook 企业帐户

根据 Zscaler 的最新发现，一种名为Ducktail的信息窃取恶意软件的 PHP 版本在野外被发现，它以合法应用程序和游戏的破解安装程序的形式分发。

“与旧版本 (.NetCore) 一样，最新版本 (PHP) 也旨在泄露与保存的浏览器凭据、Facebook 帐户信息等相关的敏感信息，”Zscaler ThreatLabz 研究人员 Tarun Dewan 和 Stuti Chaturvedi说。

Ducktail 于 2021 年底出现在威胁领域，归因于一名未具名的越南威胁行为者，该恶意软件主要旨在劫持 Facebook 业务和广告帐户。

芬兰网络安全公司 WithSecure（前身为 F-Secure）于 2022 年 7 月下旬首次记录了出于经济动机的网络犯罪活动。

虽然发现以前版本的恶意软件使用 Telegram 作为命令和控制 (C2) 通道来窃取信息，但 2022 年 8 月发现的 PHP 变种建立了与新托管网站的连接，以 JSON 格式存储数据。

Zscaler 观察到的攻击链需要将恶意软件嵌入到托管在 mediafire[.]com 等文件共享服务上的 ZIP 存档文件中，伪装成 Microsoft Office、游戏和色情相关文件的破解版本。

反过来，安装程序的执行会激活一个 PHP 脚本，该脚本最终会启动负责从 Web 浏览器、加密货币钱包和 Facebook 业务帐户窃取和泄露数据的代码。

研究人员说：“似乎 Ducktail 窃取活动背后的威胁行为者正在不断地改变或增强传递机制和方法，以窃取针对广大用户的各种敏感用户和系统信息。”