新しい PHP バージョンの Ducktail 情報スティーラーが Facebook のビジネスアカウントを乗っ取るセキュリティ問題

専門家は、Ducktail と呼ばれる情報を盗むマルウェアの PHP バージョンが、正規のアプリやゲームのクラックされたインストーラーとして拡散していることを発見しました。

Zscaler の研究者は、Ducktail として追跡された、情報を盗むマルウェアの PHP バージョンを発見しました。悪意のあるコードは、ゲーム、Microsoft Office アプリケーション、Telegram など、さまざまなアプリケーションの無料またはクラックされたアプリケーションインストーラーとして配布されます。

Ducktail は 2021 年から活動しており、専門家はベトナムの脅威グループによって運営されていたと考えています。 2022 年 7 月、WithSecure (旧 F-Secure Business) の研究者は、Facebook のビジネスおよび広告プラットフォームで活動する個人や組織を標的とする DUCKTAIL キャンペーンを発見しました。

脅威アクターは、Facebook ビジネスアカウントにアクセスできる可能性のある個人や従業員を標的にしています。情報を盗むマルウェアを使用して、ブラウザの Cookie を盗み、認証された Facebook セッションを悪用して、被害者の Facebook アカウントから情報を盗みます。

最終的な目標は、被害者が管理する Facebook ビジネスアカウントをハイジャックすることです。

攻撃者は、企業で管理職、デジタルマーケティング、デジタルメディア、および人事の役割を持つ個人を標的にしています。攻撃者は LinkedIn を介して被害者を接続しました。専門家が観察したサンプルの一部は、Dropbox、iCloud、MediaFire などのファイルまたはクラウドホスティングサービスでホストされていました。

過去に分析された DUCKTAIL サンプルは .NET Core で記述され、その単一ファイル機能を使用してコンパイルされました。

「以前のバージョン (WithSecure Labs によって観察された) は、データを盗み出すための C2 チャネルとして Telegram を使用して .NetCore を使用して作成されたバイナリに基づいていました。」 Zscaler によって公開された分析を読み取ります。「2022 年 8 月、Zscaler Threatlabz チームは、新しい TTP を備えた Ducktail Infostealer の新版で構成される新しいキャンペーンを確認しました。古いバージョン (.NetCore) と同様に、最新バージョン (PHP) も、保存されたブラウザの資格情報、Facebook アカウント情報などに関連する機密情報を盗み出すことを目的としています。」

このキャンペーンでは、攻撃者は新しい Web サイトを使用してデータをホストしていました。データは JSON 形式で保存され、窃盗活動の実行に使用されます。同じホストが、被害者から盗まれたデータを保存するために使用されます。

以前の Ducktail キャンペーンとは異なり、最新のキャンペーンは、Facebook ビジネスアカウントへの管理者または財務アクセス権を持つ特定の従業員ではなく、一般大衆をターゲットにしています。

マルウェアは、ファイル共有プラットフォーム (つまり、mediafire[.]com)、Office アプリケーション、ゲーム、字幕ファイル、ポルノ関連ファイルなどのクラックバージョンまたは無料バージョンを装います。

前回の攻撃では、悪意のあるコードは PHP スクリプトであり、被害者のブラウザ、暗号通貨ウォレット、および Facebook ビジネスアカウントからデータを盗むために使用されるコードを起動します。

このマルウェアは、一連のイベントをトリガーして、「libbridged.exe」という名前の悪意のあるペイロードを実行することで持続性を実現します。

実行されると、マルウェアはさまざまな Facebook ページを精査して、それらから情報を盗み出します。悪意のあるコードによって分析されたページは、Facebook API グラフ、Facebook 広告マネージャ、および Facebook ビジネスアカウントに属しています。を使用して、被害者のマシンの一意のユーザー ID をフェッチします。 c_user 口論。

Facebook Business Ads Manager のリンクを調べると、悪意のあるコードはアカウントと支払いサイクルの詳細にアクセスします。

以下は、マルウェアが Facebook のビジネスページから取得しようとする詳細のリストです。

支払いが開始されました
支払いが必要
ステータスを確認
所有者の広告アカウント
費やした金額
通貨の詳細
アカウントのステータス
広告の支払いサイクル
資金源
支払方法 [ credit card, debit card etc.]
ペイパルお支払い方法 [email address]
所有しているページ。

「Ducktail スティーラーキャンペーンの背後にいる脅威アクターは、配信メカニズムとアプローチを継続的に変更または強化して、ユーザー全体を対象としたさまざまな機密ユーザーおよびシステム情報を盗もうとしているようです。」レポートを締めくくります。「ZscalerのThreatLabzチームはキャンペーンを継続的に監視しており、新たな発見があれば明らかにします。」

Twitterで私に従ってください： @セキュリティアフェアーズ と フェイスブック

[adrotate banner=”9″]

[adrotate banner=”12″]

ピエルルイジ・パガニーニ

(セキュリティ関連 – ハッキング、ダックテイル)

[adrotate banner=”5″]

[adrotate banner=”13″]

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

新しい PHP バージョンの Ducktail 情報スティーラーが Facebook のビジネスアカウントを乗っ取るセキュリティ問題

専門家は、Ducktail と呼ばれる情報を盗むマルウェアの PHP バージョンが、正規のアプリやゲームのクラックされたインストーラーとして拡散していることを発見しました。

シェアオン

Leave a Comment Cancel Reply