注册
登录
| 关键词: Ducktail 窃取 恶意 信息 变体 攻击者 软件 ZScaler 基于 攻击 |
黑客正在使用 Ducktail 恶意软件的新 PHP 变体来攻击 Facebook Business 帐户、加密货币和凭证信息。根据 ZScaler 的说法,这种新的恶意软件迭代旨在像其前身一样进行信息窃取攻击,但在操作上有一定的差异。 Ducktail 是几年前起源于越南的信息窃取者。正如 WithSecure 所记录的那样,它在 2022 年 7 月获得了升级,以针对使用社交工程作为载体的 LinkedIn 用户的新活动。 现在,ZScaler 发现新的基于 PHP 的 Ducktail 变体与之前基于 .NetCore 的Ducktail 变体具有相同的恶意意图,即窃取保存在 Web 浏览器中的凭据相关信息、Facebook 帐户信息等。 不同之处在于它如何处理信息盗窃。基于 PHP 的 Ducktail 不是利用 Telegram 作为命C2渠道来泄露数据,而是将被盗数据以 JSON 格式泄露并随后存储在新托管的网站上。 新的 Ducktail 变种正在通过破解版或免费版的 Office 应用程序、游戏、字幕文件、色情相关文件等进行分发,目标是普通大众,而不是具有特定组织角色的员工,这表明其惯用的作案方式发生了转变。 Ducktail 恶意软件背后的攻击者出于经济动机并谨慎选择目标,例如管理角色或财务/会计、数字媒体或人力资源部门可能有权访问组织财务资源的目标。 ZScaler 指出:“似乎 Ducktail 窃取活动背后的攻击者正在不断地改变或增强交付机制和方法,以窃取针对广大用户的各种敏感用户和系统信息。” 该公司发现,攻击者继续在 Mediafire 等文件托管服务上托管恶意软件,主要是在 .ZIP 存档中。下载、提取和安装后,它会执行两个不同的进程,其中一个在前端——一个“检查应用程序兼容性”GUI 对话框,用于隐藏下面详述的潜在恶意。  Ducktail 恶意软件攻击执行链| 资料来源:Zscaler |
| 本文出处: https://www.toutiao.com/article/7157243570020287017/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
