新的PHP版本Ducktail恶意软件劫持脸书商业帐户

根据Zscaler的最新发现，在野外发现了一个名为Duck tailil的信息窃取恶意软件的PHP版本，该恶意软件以合法应用程序和游戏的破解安装程序的形式分发。

“像旧版本（.NetCore），最新版本（PHP）还旨在泄露与保存的浏览器凭据，Facebook帐户信息等相关的敏感信息，“兹斯卡勒威胁实验室研究人员塔伦·德万和斯图蒂·查图维迪说。

Ducktail于2021年底出现在威胁形势上，归因于一个未具名的越南威胁行为者，该恶意软件主要用于劫持Facebook业务和广告帐户。

芬兰网络安全公司 WithSecure（前身为 F-Secure）于 2022 年 7 月下旬首次记录了出于经济动机的网络犯罪行动。


虽然发现以前版本的恶意软件使用Telegram作为命令和控制（C2）通道来泄露信息，但在2022年8月发现的PHP变体建立了与新托管网站的连接，以JSON格式存储数据。

Zscaler观察到的攻击链需要将恶意软件嵌入到文件共享服务（如mediafire）上托管的ZIP存档文件中。com，伪装成微软Office，游戏和色情相关文件的破解版本。

反过来，执行安装程序会激活PHP脚本，该脚本最终会启动负责从Web浏览器，加密货币钱包和Facebook商业帐户窃取和泄露数据的代码。

“鸭尾偷窃者活动背后的威胁行为者似乎正在不断改变或增强交付机制和方法，以窃取针对广大用户的各种敏感用户和系统信息，”研究人员说。