Ducktail, известная фишинговая кампания, которая захватывает учетные записи Facebook, в которых проводятся рекламные кампании для бизнеса, теперь распространяет новое вредоносное ПО для кражи данных.
По словам исследователей Zscaler (opens in a new tab), Ducktail ранее использовала LinkedIn для распространения вредоносных программ, написанных на .NET Core, которые могли красть данные бизнес-аккаунтов Facebook, хранящиеся в веб-браузере, и передавать их в частный канал Telegram, которые действовали как вредоносные программы. . сервер управления и контроля (C2), который связывается с целевыми системами для координации кибератак.
Однако теперь было замечено, что Ducktail распространяет новый вариант вредоносного ПО, которое может не только красть данные, связанные с Facebook, но и другие конфиденциальные данные, хранящиеся в браузерах, такие как данные, связанные с криптокошельками, валютой, информацией об учетной записи и другими данными. .
Кража данных браузера
Изменился и C2: данные теперь передаются не в Telegram-канал, а на JSON-сайт, который также хранит на устройстве токены аккаунта и другие данные, необходимые для мошенничества.
Zscaler также заявил, что вредоносное ПО было распространено в виде файла, загруженного на законный файлообменник. Злоумышленники, по их словам, позаботились о том, чтобы антивирусное программное обеспечение не помечало вредоносное ПО, загрузив его только в память.
Пользователи могут уменьшить ущерб от Ducktail и других вредоносных программ, переключившись на анонимный браузер или просто убедившись, что конфиденциальная информация не сохраняется в выбранном браузере.
Это особенно важно, потому что, если вредоносное ПО скомпрометирует конечную точку с бизнес-аккаунтом Facebook, оно может искать дополнительные конфиденциальные финансовые данные, такие как данные PayPal. Сюда входят суммы, потраченные на определенные покупки, статусы проверки и т. д.
В большинстве случаев злоумышленники, использующие вредоносное ПО, пытаются обманным путем заставить людей загрузить его, представляя его как файлы субтитров к фильмам, контент для взрослых или вредоносные программы.
Хотя это правда, что новый похититель информации Ducktail может обойти антивирусное программное обеспечение, программное обеспечение, которое поставляется со встроенной веб-защитой, все же может быть полезным, блокируя доступ к подозрительным сайтам, на которых оно может быть.
Через: BleepingComputer (открывается в новой вкладке)