Ducktail恶意软件操作随着新的恶意功能而发展

Ducktail信息窃取者的运营商表现出了“坚持不懈的意愿”，并继续更新他们的恶意软件，这是一项持续的财务驱动活动的一部分。

WithSecure研究员穆罕默德·卡泽姆·哈桑·内贾德（Mohammad Kazem Hassan Nejad）在一份新的分析中表示：“该恶意软件旨在窃取浏览器cookie，并利用经过认证的Facebook会话从受害者的Facebook账户中窃取信息”。

“这一行动最终劫持了受害者有足够访问权限的Facebook Business账户。威胁行为人利用他们获得的访问权限运行广告以获取金钱利益”。

Ducktail活动归因于一名越南威胁行为者，旨在针对活跃在Facebook广告和商业平台上的数字营销和广告行业的企业。

此外，目标还包括潜在公司中的个人，他们可能会高级访问Facebook Business帐户。这包括营销、媒体和人力资源人员。

2022年7月，芬兰网络安全公司首次记录了该恶意活动。据信，该行动自2021下半年开始实施，尽管有证据表明，这一威胁行为体早在2018年底就已开始活动。

Zscaler ThreadLabz上个月进行的后续分析发现了作为破解软件安装程序分发的PHP版本的恶意软件。然而，WithSecure表示，该活动与它以Ducktail绰号追踪的活动没有任何联系。

该恶意软件的最新版本于2022年9月6日重新出现，此前，该威胁行为人因公开披露而于8月12日被迫停止运营，并进行了一系列改进，以规避检测。

感染链现在开始于通过LinkedIn和WhatsApp等平台交付包含Apple iCloud和Discord上托管的电子表格文档的存档文件，这表明威胁行为者的鱼叉式网络钓鱼策略多样化。

该恶意软件收集到的Facebook商业账户信息是通过Telegram进行过滤的。该恶意软件使用七个不同的不存在的企业的伪装下获得的数字证书进行签名。

Nejad解释道：“最新战役中观察到的一个有趣的变化是，（Telegram命令和控制）频道现在包括多个管理员帐户，这表明对手可能正在运行一个联盟计划”。