Yeni bir ördek kuyruğu kimlik avı kampanyası, Facebook hesaplarını, tarayıcı verilerini ve kripto para cüzdanlarını çalmak için kullanılan PHP'de yazılmış daha önce hiç görülmemiş bir Windows bilgi çalma kötü amaçlı yazılımlarını yayıyor.
Ducktail kimlik avı kampanyaları ilk olarak Temmuz 2022'de Saldırıları Vietnamlı bilgisayar korsanlarıyla ilişkilendiren Secure'den araştırmacılar tarafından açıklandı.
Bu kampanyalar, LinkedIn aracılığıyla sosyal mühendislik saldırılarına dayanarak, bir pazarlama projesi hakkında ayrıntılar içeren bir PDF belgesi olarak maskelenen .NET Çekirdek kötü amaçlı yazılımları itti.
Kötü amaçlı yazılım, tarayıcılarda depolanan, Facebook işletme hesabı verilerine odaklanan ve C2 sunucusu görevi gören özel bir telgraf kanalına açıkladı. Bu çalınan kimlik bilgileri daha sonra finansal sahtekarlık veya kötü niyetli reklamlar yapmak için kullanılır.
Zscaler şimdi, Windows bilgi çalan kötü amaçlı yazılım olarak hareket etmek için bir PHP komut dosyası kullanan yenilenmiş bir ördek kuyruğu kampanyası içeren yeni etkinlik işaretlerini tespit ettiğini bildiriyor.
Ducktail şimdi önceki kampanyalarda kullanılan eski net çekirdek bilgi çalma kötü amaçlı yazılımlarını PHP'de yazılmış biriyle değiştirdi.
Bu kampanya için sahte yemlerin çoğu oyun, altyazı dosyaları, yetişkin videolar ve çatlamış MS ofis uygulamaları ile ilgilidir. Bunlar, meşru dosya barındırma hizmetlerinde zip formatında barındırılır.
Yürütüldüğünde, kurulum arka planda gerçekleşirken, kurban ön uçta sahte 'başvuru uyumluluğu' açılırken pop-up'ları görür ve dolandırıcıların yüklenmesi için gönderilen sahte bir uygulamayı bekler.
Kötü amaçlı yazılım sonuçta PHP.exe Yerel Tercüman, bilgi çalmak için kullanılan çeşitli komut dosyalarını ve aşağıda gösterildiği gibi destekleyici araçları içeren %LocalAppData %\ Packges \ PXT klasörüne çıkarılacaktır.
PHP kötü amaçlı yazılım, günlük ve düzenli aralıklarla yürütmek için ana bilgisayar üzerine planlanmış görevler ekleyerek kalıcılık sağlar. Aynı zamanda, oluşturulan bir TMP dosyası, Stealer bileşenini başlatmak için paralel bir işlem çalıştırır.
Stealer'ın kodu, diske dokunmadan doğrudan bellek üzerinde deşifre edilen ve algılanma şansını en aza indiren gizlenmiş (Base64) PHP komut dosyasıdır.
Hedeflenen veriler kapsamlı Facebook hesap ayrıntıları, tarayıcılarda depolanan hassas veriler, tarayıcı çerezleri, kripto para birimi cüzdanı ve hesap bilgileri ve temel sistem verileri içerir.
Toplanan bilgiler artık telgrafa açıklanmıyor, bunun yerine cihazda sahtekarlık yapmak için gereken hesap jetonlarını ve verileri de barındıran bir JSON web sitesinde saklanıyor.
Önceki kampanyada, Ducktail, sosyal medya platformunda reklam kampanyaları oluşturma ve yürütme izni olan şirketlerin finansal veya pazarlama departmanında çalışan kuruluşların çalışanlarını hedefledi.
Amaç, bu hesapların kontrolünü kontrol etmek ve banka hesaplarına doğrudan ödemeler yapmak veya daha fazla kurbana ördek kuyruğu tanıtmak için kendi Facebook kampanyalarını yürütmekti.
Bununla birlikte, en son kampanyada Zscaler, hedefleme kapsamının normal Facebook kullanıcılarını içerecek şekilde genişletildiğini ve hesaplarında depolamış olabilecekleri değerli bilgileri sifon edecek şekilde genişletildiğini fark etti.
Yine de, hesap türü bir işletme hesabı olarak belirlenirse, kötü amaçlı yazılım, ödeme yöntemleri, döngüler, harcanan tutarlar, sahip detayları, doğrulama durumu, sahip olunan sayfalar, PayPal adresi ve daha fazlası hakkında ek bilgiler getirmeye çalışacaktır.
Ducktail'in evrimi ve güvenlik araştırmacıları tarafından müteakip izlemeden kaçınma girişimi, tehdit aktörlerinin kârlı operasyonlarını sürdürmeyi amaçladıklarını göstermektedir.
Kullanıcılara LinkedIn'deki anlık mesajlar konusunda dikkatli olmaları ve özellikle çatlak yazılım, oyun modları ve hileler gibi ekstra dikkatle dosya indirme isteklerini tedavi etmeleri tavsiye edilir.
Yeni Erbium şifre çalan kötü amaçlı yazılımlar oyun çatlakları, hileler olarak yayılır
Dev Backdoors, diğer bilgisayar korsanlarından veri çalmak için kötü amaçlı yazılımlara sahip
Korsan 3Dmark Benchmark Aracı Info-Stealer kötü amaçlı yazılım sunan
Kötü niyetli PYPI paketleri anlaşmazlığı şifre çalan kötü amaçlı yazılımlara dönüştürür
Amadey kötü amaçlı yazılım Smokeloader kampanyasında yazılım çatlakları yoluyla itildi
Kaynak: Bleeping Computer