Le nouveau malware Ducktail cible les comptes Facebook pour le vol de données
Les attaquants utilisent un logiciel malveillant Windows appelé Ducktail pour voler des comptes Facebook, des données de navigation et des portefeuilles de cryptomonnaie.
Ducktail est associé à des pirates vietnamiens et s'appuie principalement sur des attaques d'ingénierie sociale via LinkedIn. Le malware .NET Core se fait passer pour un document PDF contenant prétendument des détails sur un projet marketing.
Selon les chercheurs, la plupart des appâts contrefaits de la campagne concernent des jeux, des sous-titres, des vidéos pour adultes et des applications MS Office craquées qui sont hissés au format ZIP sur des services légitimes.
Ducktail est écrit en PHP et a été découvert en juillet 2022 par des chercheurs de WithSecure. Pour cette nouvelle souche, Ducktail a remplacé l'ancien malware de vol d'informations .NET Core utilisé dans les campagnes précédentes par un malware écrit en PHP.
Dans la chaîne d'infections de Ducktail, l'installation post-exécution se déroule en arrière-plan, tandis que la victime voit de fausses fenêtres pop-up "Checking Application Compatibility" en avant-plan, attendant l'installation d'une fausse application envoyée par les escrocs.
Ensuite, le malware est extrait dans le dossier %LocalAppData%\PXT, qui contient l'interpréteur local PHP.exe, divers scripts de vol d'informations et des outils de soutien.
Bien que les données ciblées comprennent des informations étendues sur les comptes Facebook, des données sensibles stockées dans les navigateurs, des cookies de navigateur, des portefeuilles de crypto-monnaies et des informations sur les comptes, ainsi que des données système de base, les informations recueillies ne sont pas exfiltrées vers Telegram, mais sont stockées sur un site Web JSON qui stocke également les marques de compte et les données nécessaires à la fraude sur l'appareil.
Lors des récentes attaques, Ducktail a élargi sa cible pour inclure les utilisateurs réguliers de Facebook et capturer toutes les informations précieuses qu'ils ont stockées sur leurs comptes.
S'il s'agit d'un compte professionnel, le malware tente d'obtenir des informations supplémentaires sur les méthodes de paiement, les cycles, les montants dépensés, les données du propriétaire, le statut de vérification, les pages possédées, l'adresse PayPal, etc.
Les sources de cet article comprennent un article de BleepingComputer.