Một phiên bản PHP của phần mềm độc hại đánh cắp thông tin có tên Ducktail đã được phát hiện trong tự nhiên đang được phân phối dưới dạng trình cài đặt bẻ khóa cho các ứng dụng và trò chơi hợp pháp, theo phát hiện mới nhất từ Zscaler.
"Giống như các phiên bản cũ hơn (. NetCore), phiên bản mới nhất (PHP) cũng nhằm mục đích thâm nhập thông tin nhạy cảm liên quan đến thông tin đăng nhập trình duyệt đã lưu, thông tin tài khoản Facebook, v.v.", các nhà nghiên cứu của Zscaler ThreatLabz, Tarun Dewan và Stuti Chaturvedi cho biết.
Ducktail, xuất hiện trên bối cảnh mối đe dọa vào cuối năm 2021, được cho là do một tác nhân đe dọa Việt Nam giấu tên, với phần mềm độc hại chủ yếu được thiết kế để chiếm đoạt các tài khoản kinh doanh và quảng cáo trên Facebook.
Hoạt động tội phạm mạng có động cơ tài chính lần đầu tiên được ghi nhận bởi công ty an ninh mạng Phần Lan WithSecure (trước đây là F-Secure) vào cuối tháng 7 năm 2022.
Trong khi các phiên bản trước của phần mềm độc hại được phát hiện sử dụng Telegram làm kênh chỉ huy và kiểm soát (C2) để thâm nhập thông tin, biến thể PHP được phát hiện vào tháng 8 năm 2022 thiết lập kết nối với một trang web mới được lưu trữ để lưu trữ dữ liệu ở định dạng JSON.
Các chuỗi tấn công được quan sát bởi Zscaler đòi hỏi phải nhúng phần mềm độc hại vào các tệp lưu trữ ZIP được lưu trữ trên các dịch vụ chia sẻ tệp như mediafire [.] com, giả mạo là phiên bản bẻ khóa của Microsoft Office, trò chơi và các tệp liên quan đến khiêu dâm.
Đến lượt nó, việc thực thi trình cài đặt sẽ kích hoạt một tập lệnh PHP cuối cùng khởi chạy mã chịu trách nhiệm đánh cắp và thâm nhập dữ liệu từ trình duyệt web, ví tiền điện tử và tài khoản Facebook Business.
"Có vẻ như các tác nhân đe dọa đằng sau chiến dịch ăn cắp Ducktail đang liên tục thực hiện các thay đổi hoặc nâng cao trong cơ chế phân phối và cách tiếp cận để đánh cắp nhiều loại thông tin hệ thống và người dùng nhạy cảm nhắm vào người dùng nói chung," các nhà nghiên cứu cho biết.