Zscaler’deki güvenlik uzmanları, son zamanlarda, vahşi doğada Ducktail olarak adlandırılan ve bilgi çalan bir kötü amaçlı yazılım keşfettiklerini ve bunun PHP tabanlı bir kötü amaçlı yazılım olduğunu bildirdi.
Dağıtım kanalı veya aracı için, tehdit aktörleri bu kötü amaçlı yazılımı dağıtmak için yasal uygulamaların ve oyunların korsan sürümlerini kullanıyor.
Kötü amaçlı yazılımın bu PHP sürümü, .NetCore tabanlı önceki sürümleri gibi, kurbanların tarayıcılarından kişisel bilgileri çalmak için tasarlanmıştır.
Esas olarak, aşağıdakiler gibi hassas verileri çaldığı kurbanın web tarayıcılarını hedefler:-
- Kaydedilmiş tarayıcı kimlik bilgileri
- Facebook hesap bilgileri
Saldırı Zinciri
2021’in sonlarında tehdit ortamında tespit edilen Ducktail’in arkasında bilinmeyen bir Vietnamlı tehdit aktörünün olduğuna inanılıyor. WithSecure, Temmuz 2022’nin sonunda daha önce meydana gelen önceki Ducktail gruplaşmalarını fark etti.
Kötü amaçlı yazılımın birincil amacı, aşağıdaki hesapları hedef almak ve hacklemektir: –
- Facebook işletme hesapları
- Facebook reklam hesapları
Kötü amaçlı yazılım ilk keşfedildiğinde, saldırganlara bilgi göndermek için bir kanal olarak Telegram’ı kullandı, ancak sonraki sürümler farklı bir ortama geçti. Kısacası, tehdit aktörleri, bağlantıları kurmak için verileri JSON biçiminde depolayan veya barındıran yeni bir web sitesi kullanır.
Aşağıdaki belirtilen programların korsan veya kırılmış sürümlerini kullanarak, kötü amaçlı yazılım, tehdit aktörleri tarafından popüler dosya paylaşım web sitelerinde barındırılan ZIP arşivlerine enjekte edilir:-
- Microsoft Office
- Oyunlar
- pornografi
Kötü Amaçlı Yazılım İşlevleri
Aşağıda, kötü amaçlı yazılımın tüm işlevlerinden bahsettik: –
- Sistemde yüklü olan tarayıcı bilgilerini getirir.
- Sistemden tarayıcı çerezlerinin saklanan bilgilerini çeker.
- Facebook Business hesaplarını hedefler.
- wallet.dat dosyasında kripto hesabı bilgilerini arar.
- Verileri toplar ve komuta ve kontrol (C&C) sunucusuna gönderir.
Kurban program yükleyiciyi çalıştırdığında, kötü amaçlı bir PHP betiği etkinleştirilir. Şimdi kurbanın web tarayıcısından, tehdit aktörleri bu kötü amaçlı PHP betiğinin yardımıyla rastgele kod çalıştırarak aşağıdaki hassas verileri çalar: –
- Kripto para cüzdanları
- Facebook İşletme hesapları
Aşağıda, kötü amaçlı yazılımın Facebook İşletme sayfalarından çalmaya çalıştığı ayrıntılardan bahsettik:-
- Ödeme başlatıldı
- Ödeme gerekli
- Doğrulama durumu
- Sahip reklam hesapları
- Harcanan miktar
- Para birimi ayrıntıları
- Hesap durumu
- Reklamlar Ödeme döngüsü
- Yatırım kaynağı
- Ödeme şekli [ credit card, debit card etc.]
- Paypal Ödeme yöntemi [email address]
- Sahip olunan sayfalar
Ayrıca bu, bu kötü amaçlı yazılımın faillerinin saldırılarının kapsamını genişlettiklerinin bir başka göstergesidir. Yukarıdaki hedeflerin yanı sıra, kampanyanın bu güncellenmiş versiyonunda normal Facebook kullanıcıları da hedeflenmektedir.
DuckTail geliştiricileri tarafından kötü amaçlı yazılımlarını geliştirmek ve daha karmaşık ve gizli hale getirmek için sürekli değişiklikler ve diğer iyileştirmeler yapılmaktadır. Bu yaklaşımı benimsemek, kurbanlara virüs bulaştırmada ve onlardan her zamankinden daha fazla bilgi çalmada daha etkili olmalarını sağlayacaktır.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin