Zscaler ThreatLabz araştırma ekibi, oyunlar, Microsoft Office uygulamaları, Telegram ve diğerleri dahil olmak üzere çeşitli uygulamalar için kırık uygulama yükleyicisi biçiminde dağıtılan ‘Ducktail’ Infostealer’ın PHP sürümünü gözlemledi.
Özellikle, Ducktail 2021’den beri aktif; Uzmanlar, Vietnamlı tehdit grubu tarafından işletilebileceğini söylüyor. Bu saldırı kampanyasının ana hedefi, Facebook Business hesaplarını ele geçirmektir.
Saldırı Zinciri
“Önceki sürümler (WithSecure Labs tarafından gözlemlendi), verileri sızdırmak için C2 Kanalı olarak Telegram ile .NetCore kullanılarak yazılmış bir ikili dosyaya dayanıyordu”, Zscaler
Bu durumda, kötü niyetli yükleyici bir dosya barındırma web sitesinde barındırılıyor. Araştırmacılar, önceki kampanyalarla karşılaştırırken, kötü amaçlı kodun yürütülmesinde değişiklikler yapıldığını söylüyor. Ayrıca, tehdit aktörleri, ana hırsız kodunun bir .Net ikili değil, bir PHP komut dosyası olduğu bir komut dosyası sürümüne geçti.
“Yürütmenin ardından, sahte yükleyici ön uçta bir ‘Uygulama Uyumluluğunu Kontrol Etme’ GUI’sini açar. Arka uçta, yükleyiciyi “/Silent” parametresiyle yeniden başlatan bir .tmp dosyası oluşturur ve ardından başka bir .tmp dosyası oluşturulur”, Zscaler araştırmacıları.
PHP betiği, base64 ile kodlanmış bir metin dosyasının şifresini çözmek için kullanılan koddan oluşur. Metin dosyasının şifresi çözülmüş sürümünün yürütülmesi, nihai sonuç olarak özel iş planlama ikili dosyasının yürütülmesine yol açacaktır.
Araştırmacılar, çalan kodun çalışma zamanında bellekte şifresinin çözüldüğünü ve ardından çalma işlemleri ve verilerin sızması gerçekleştirdiğini söylüyor.
Kötü Amaçlı Yazılımın İşlevselliği
- Sistemde yüklü olan tarayıcı bilgilerini getirir.
- Sistemden tarayıcı çerezlerinin saklanan bilgilerini çeker.
- Facebook Business hesaplarını hedefler.
- wallet.dat dosyasında kripto hesabı bilgilerini arar.
- Verileri toplar ve komuta ve kontrol (C&C) sunucusuna gönderir.
Ek olarak, kötü amaçlı komut dosyası, sistemde yüklü tarayıcılar hakkında bilgi toplar ve makine kimliği, tarayıcı sürümü ve dosya adı gibi temel verileri çıkarır ve bu verileri kopyalar.
Bilgi Çalmak için Facebook Sayfalarını Hedefleme
Bu durumda, kötü amaçlı yazılım, bilgi çalmak için çeşitli Facebook sayfalarını inceler. Bu sayfalar Facebook API grafiği, Facebook Reklam Yöneticisi ve Facebook İşletme hesaplarına aittir.
Facebook Business Ads Manager bağlantılarını ararken, kötü amaçlı kod, hesapların ve ödeme döngülerinin ayrıntılarına erişecektir. Kötü amaçlı yazılım, Facebook İşletme sayfalarından ayrıntıların listesini almaya çalışır:
- Ödeme başlatıldı
- Ödeme gerekli
- Doğrulama durumu
- Sahip reklam hesapları
- Harcanan miktar
- Para birimi ayrıntıları
- Hesap durumu
- Reklamlar Ödeme döngüsü
- Yatırım kaynağı
- Ödeme şekli [credit card, debit card etc.]
- Paypal Ödeme yöntemi [email address]
- Sahip olunan sayfalar.
Daha sonra, PHP betiği, daha sonra bilgi toplamak için kullanılacak olan JSON biçiminde depolanan içeriklerin listesini almak için C&C sunucusuna bağlanmaya çalışır.
Araştırmacılar, “Ördek kuyruğu hırsızlığı kampanyası, geniş çapta kullanıcıları hedef alan çok çeşitli hassas kullanıcı ve sistem bilgilerini çalmak için dağıtım mekanizmalarında sürekli değişiklikler veya iyileştirmeler yapıyor” dedi.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Özgür e-kitap