Hand holding dollar symbol

新しい Ducktail フィッシング キャンペーンは、Facebook アカウント、ブラウザ データ、暗号通貨を盗むために使用される PHP で書かれた、これまでにない Windows 情報盗用マルウェアを拡散しています。

Ducktail フィッシング キャンペーンは、2022 年 7 月に WithSecure の研究者によって初めて明らかになり、攻撃をベトナムのハッカーが関連しているとされています。

これらのキャンペーンは、LinkedIn を介したソーシャル エンジニアリング攻撃を行っており、マーケティング プロジェクトの詳細が含まれていると思われる PDF ドキュメントを装った .NET Core マルウェアを送信していました。

このマルウェアは、ブラウザーに保存されている情報を標的とし、特にFacebook ビジネス アカウントのデータに焦点を当て、C2 サーバーとして機能するプライベート Telegram チャネルにデータを盗み出しました。

これらの盗まれた資格情報は、金融詐欺や悪意のある広告の実行に使用されています。

Zscaler は現在、PHP スクリプトを使用して Windows の情報を盗むマルウェアとして機能する、更新された Ducktail キャンペーンに関連する新しい活動を発見したことを報告しています。

PHPで書かれたマルウェア

Ducktail は、以前のキャンペーンで使用された古い NET Core 情報窃取マルウェアを、PHP で記述されたマルウェアに置き換えました。

このキャンペーンの偽ルアーのほとんどは、ゲーム、字幕ファイル、アダルト ビデオ、クラックされた MS Office アプリケーションに関連しています。これらは、正規のファイル ホスティング サービスで ZIP 形式でホストされています。

実行すると、インストールはバックグラウンドで行われ、被害者は偽の「Checking Application Compatibility」ポップアップをフロントエンドに表示し、詐欺師から送信された偽のアプリケーションがインストールされるのを待ちます。

マルウェアは最終的に %LocalAppData%PackagesPXT フォルダーに抽出されます。このフォルダーには、以下に示すように、PHP.exe ローカル インタープリター、情報を盗むために使用されるさまざまなスクリプト、およびサポート ツールが含まれています。

Ducktail の PHP 情報盗用マルウェア
Ducktail の PHP 情報盗用マルウェア
ソース: BleepingComputer

PHP マルウェアは、スケジュールされたタスクをホストに追加して、毎日および定期的に実行することで持続性を実現します。同時に、生成された TMP ファイルが並行プロセスを実行して、スティーラー コンポーネントを起動します。

新しい Ducktail 攻撃フロー

 

新しい Ducktail 攻撃フロー(Zscaler)

スティーラーのコードは難読化された (Base64) PHP スクリプトであり、ディスクに触れることなくメモリ上で直接解読されるため、検出される可能性が最小限に抑えられます。

 

スティーラーのコード(Zscaler)

標的となるデータには、広範な Facebook アカウントの詳細、ブラウザに保存された機密データ、ブラウザの Cookie、暗号通貨のウォレットとアカウント情報、および基本的なシステム データが含まれます。

収集された情報は Telegram に流出することはなくなり、代わりにアカウント トークンとデバイス上での不正行為に必要なデータをホストする JSON Web サイトに保存されます。

対象範囲の拡大

以前のキャンペーンでは、Ducktail は、ソーシャル メディア プラットフォームで広告キャンペーンを作成および実行する許可を持っている可能性が高い、企業の財務部門またはマーケティング部門で働く組織の従業員をターゲットにしていました。

目標はアカウントを制御し、銀行口座に直接支払いを行うか、独自の Facebook キャンペーンを実行して、より多くの被害者に Ducktail を宣伝することでした。

しかし、Zscaler は最新のキャンペーンでターゲットの範囲が拡大され、通常の Facebook ユーザーが含まれるようになり、アカウントに保存されている可能性のある貴重な情報を吸い上げていることに気付きました。

それでも、アカウントの種類がビジネス アカウントであると判断された場合、マルウェアは、支払い方法、サイクル、支出額、所有者の詳細、確認ステータス、所有ページ、PayPal アドレスなどに関する追加情報を取得しようとします。

 

Facebook の詳細をターゲットにする(Zscaler)

Ducktail の進化と、その後のセキュリティ研究者による監視を回避しようとする試みは、攻撃者が収益性の高い活動を継続することを目指していることを示しています。

ユーザーは、LinkedIn のインスタント メッセージに注意を払い、ファイルのダウンロード要求、特にクラックされたソフトウェア、ゲーム MOD、およびチートに細心の注意を払って処理することをお勧めします。