New DuckLogs malware service claims having thousands of ‘customers’

「DuckLogs」という名前の新しいサービスとしてのマルウェア (MaaS) 操作が登場し、スキルの低い攻撃者が複数のモジュールに簡単にアクセスして、情報を盗んだり、キー ストロークを記録したり、クリップボード データにアクセスしたり、侵害されたホストにリモート アクセスしたりできます。

DuckLogs は完全に Web ベースです。何千ものサイバー犯罪者がサブスクリプションを支払って、4,000 以上のマルウェア ビルドを生成および起動していると主張しています。

ダックログのメインページ
DuckLogs プロモーション パンフレット(Cyble)

オペレーターは一部の顧客に追加サービスを提供しているようで、ペイロードの配布、ファイルをドロップするツール、および拡張子チェンジャーを支援しています。

Web パネルは、2,000 人を超えるサイバー犯罪者が悪意のあるプラットフォームを使用しており、現在の被害者数は 6,000 人を超えていることを示しています。

ダックログパネル
DuckLogs パネルの概要(Cyble)

Cyble のマルウェア研究者は、DuckLogs マルウェアを発見し、その発見の技術的分析を公開しました。

ダックログの特徴

DuckLogs には、主に情報窃盗プログラムとリモート アクセス トロイの木馬 (RAT) コンポーネントが含まれていますが、特定のアプリケーションを標的とする 100 を超える個別のモジュールがあります。

以下は、情報窃取コンポーネントが標的とするデータとアプリケーションの一部のリストです。

  • ハードウェアおよびソフトウェア情報
  • ローカル ディスクに保存されているファイル
  • Web ブラウザに保存されたアカウント資格情報と Cookie
  • Thunderbird と Outlook のメール
  • Discord、Telegram、Signal、Skype のメッセージ データ
  • NordVPN、ProtonVPN、OpenVPN、CrypticVPN のアカウント データ
  • FileZilla と TotalCommander のデータ
  • Steam、Minecraft、Battle.Net、および Uplay アカウント
  • Metamask、Exodus、Coinomi、Atomic、および Electrum 暗号通貨ウォレット

RAT コンポーネントは、コマンド アンド コントロール (C2) サーバーからファイルを取得してホスト上で実行したり、クラッシュ画面を表示したり、デバイスをシャットダウン、再起動、ログアウト、ロックしたり、ブラウザーで URL を開いたりする機能をサポートしています。

他の DuckLogs モジュールでは、機密情報を盗むためのキーストロークのログ記録、クリッパー (通常は暗号通貨トランザクションのハイジャックに使用)、およびスクリーンショットを撮るためのツールを使用できます。

Cyble の研究者によると、このマルウェアは、Telegram 通知、暗号化されたログと通信、コードの難読化、メモリ内のペイロードを起動するためのプロセス ハロウイング、永続化メカニズム、および Windows ユーザー アカウント制御のバイパスもサポートしています。

マルウェアをメモリにロードするためのプロセス ハロウイング
マルウェアをメモリにロードするためのプロセスハロウイング (Cyble)

Web ベースのパネルは現在、4 つの clearnet ドメインで利用可能であり、最終的なマルウェア ビルドに追加されるモジュールと機能のオプションを備えた強力なペイロード構築機能を提供しているようです。

さらに、ビルダーは、Windows Defender の除外の追加、ペイロード実行の遅延、ホストでのタスク マネージャーの無効化など、いくつかの反回避の選択肢を提供します。

ペイロード ビルダーのオプション
ペイロード ビルダー オプション(Cyble)

Cyble は、最初の感染経路は電子メール (スパム、フィッシング) で発生する可能性が高いと述べています。研究者は、疑わしいメッセージの信憑性を確認し、信頼できないソースからのリンクを開かないことをユーザーに推奨しています。

さらに、クリップボードにコピーされた機密データは、貼り付け後に慎重に検査して、ハッカーがトランザクションの宛先などの詳細を変更していないことを確認する必要があります。

もう 1 つの有用な予防策は、トレントや怪しげなサイトから実行可能ファイルをダウンロードしないようにし、セキュリティ ソフトウェアを最新の状態に保つことです。