Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Neue Ducktail-Malware zielt auf Facebook-Konten zum Datendiebstahl
25. Oktober 2022. TuxCare PR Team
Angreifer nutzen eine Windows-Malware namens Ducktail, um Facebook-Konten, Browserdaten und Krypto-Wallets zu stehlen.
Ducktail wird mit vietnamesischen Hackern in Verbindung gebracht und stützt sich hauptsächlich auf Social-Engineering-Angriffe über LinkedIn, wobei sich die .NET Core-Malware als PDF-Dokument tarnt, das angeblich Details über ein Marketingprojekt enthält.
Den Forschern zufolge handelt es sich bei den meisten gefälschten Köder für die Kampagne um Spiele, Untertitel, Videos für Erwachsene und geknackte MS Office-Anwendungen, die im ZIP-Format auf legitimen Diensten angeboten werden.
Ducktail ist in PHP geschrieben und wurde erstmals im Juli 2022 von Forschern von WithSecure entdeckt. Für den neuen Stamm hat Ducktail die ältere .NET Core-Malware, die in früheren Kampagnen verwendet wurde, durch eine in PHP geschriebene Malware ersetzt.
Bei der Infektionskette von Ducktail findet die Installation nach der Ausführung im Hintergrund statt, während das Opfer im Frontend gefälschte Pop-ups mit der Aufschrift "Checking Application Compatibility" sieht und darauf wartet, dass eine von den Betrügern geschickte gefälschte Anwendung installiert wird.
Danach wird die Malware in den Ordner %LocalAppData%\PXT extrahiert, der den lokalen PHP.exe-Interpreter, verschiedene Skripte zum Informationsdiebstahl und unterstützende Tools enthält.
Während die gezielten Daten umfangreiche Facebook-Kontoinformationen, in Browsern gespeicherte sensible Daten, Browser-Cookies, Kryptowährungs-Wallets und Kontoinformationen sowie grundlegende Systemdaten umfassen, werden die gesammelten Informationen nicht zu Telegram exfiltriert, sondern auf einer JSON-Website gespeichert, die auch Kontomarken und für Betrug notwendige Daten auf dem Gerät speichert.
Bei den jüngsten Angriffen hat Ducktail das Zielspektrum auf reguläre Facebook-Nutzer ausgeweitet und alle wertvollen Informationen erfasst, die diese in ihren Konten gespeichert haben.
Handelt es sich bei dem Konto um ein Geschäftskonto, versucht die Malware, zusätzliche Informationen über Zahlungsmethoden, Zyklen, ausgegebene Beträge, Inhaberdaten, Verifizierungsstatus, eigene Seiten, PayPal-Adresse und mehr zu erhalten.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
