Ducktail恶意软件劫持Facebook商业账户的新PHP版本

一个名为的信息窃取恶意软件的PHP版本Ducktail公司根据Zscaler的最新发现，在野外发现了以合法应用程序和游戏的破解安装程序的形式分发。

Zscaler ThreatLabz研究人员Tarun Dewan和Stuti Chaturvedi表示：“与旧版本（.NetCore）一样，最新版本（PHP）也旨在过滤与保存的浏览器凭据、Facebook帐户信息等相关的敏感信息”。

Ducktail于2021晚些时候出现在威胁图景中，被认为是由一名未具名的越南威胁行为人所为，该恶意软件主要用于劫持Facebook业务和广告账户。

芬兰网络安全公司WithSecure(原F-Secure)于2022年7月底首次记录了这种以经济为动机的网络犯罪活动。

虽然之前版本的恶意软件被发现使用Telegram作为命令和控制（C2）通道来过滤信息，但2022年8月发现的PHP变体建立了与新托管网站的连接，以JSON格式存储数据。

Zscaler观察到的攻击链需要将恶意软件嵌入文件共享服务（如mediafire[.]com）上托管的ZIP存档文件中，伪装成Microsoft Office、游戏和色情相关文件的破解版本。

安装程序的执行反过来激活了一个PHP脚本，最终启动了负责从web浏览器、加密货币钱包和Facebook商业账户窃取和过滤数据的代码。

研究人员表示：“看来，鸭尾窃贼运动背后的威胁行为体正在不断地改变或改进传递机制和方法，以窃取针对广大用户的各种敏感用户和系统信息”。