기술 지원
문서
로그인
문의하기
데이터 도용을 위해 페이스북 계정을 노리는 새로운 Ducktail 멀웨어
2022년 10월 25일 TuxCare 홍보팀
공격자들은 Ducktail이라는 Windows 멀웨어를 사용하여 Facebook 계정, 브라우징 데이터 및 암호화폐 지갑을 탈취하고 있습니다.
덕테일은 베트남 해커와 관련이 있으며 주로 LinkedIn을 통한 소셜 엔지니어링 공격에 의존하며, 마케팅 프로젝트에 대한 세부 정보가 포함된 것으로 추정되는 PDF 문서로 가장한 .NET Core 멀웨어를 유포합니다.
연구자들에 따르면 이 캠페인의 위조 미끼는 대부분 게임, 자막, 성인용 동영상, 크랙된 MS 오피스 애플리케이션과 관련이 있으며, 합법적인 서비스에서 ZIP 형식으로 유포됩니다.
덕테일은 PHP로 작성되었으며 2022년 7월에 위드시큐어의 연구원들에 의해 처음 발견되었습니다. 새로운 변종의 경우, 이전 캠페인에서 사용된 구형 .NET Core 정보 탈취 멀웨어를 PHP로 작성된 멀웨어로 대체했습니다.
덕테일의 감염 연쇄에서는 실행 후 설치가 백그라운드에서 이루어지며, 피해자는 프론트엔드에서 가짜 '애플리케이션 호환성 확인' 팝업을 보고 사기꾼이 보낸 가짜 애플리케이션이 설치되기를 기다립니다.
그 후, 멀웨어는 PHP.exe 로컬 인터프리터, 다양한 정보 도용 스크립트 및 지원 도구가 포함된 %LocalAppData%\PXT 폴더로 추출됩니다.
대상 데이터에는 광범위한 페이스북 계정 정보, 브라우저에 저장된 민감한 데이터, 브라우저 쿠키, 암호화폐 지갑 및 계정 정보, 기본 시스템 데이터 등이 포함되지만, 수집된 정보는 텔레그램으로 유출되지 않고, 계정 브랜드와 사기 행위에 필요한 데이터를 저장하는 JSON 웹사이트에 저장됩니다.
최근 공격에서 Ducktail은 일반 Facebook 사용자까지 공격 대상 범위를 확장하여 계정에 저장된 모든 중요한 정보를 수집했습니다.
계정이 비즈니스 계정인 경우 멀웨어는 결제 방법, 주기, 지출 금액, 소유자 데이터, 인증 상태, 소유 페이지, PayPal 주소 등에 대한 추가 정보를 얻으려고 시도합니다.
이 글의 출처는 BleepingComputer의 기사입니다.
