Ducktail, eine bekannte Phishing-Kampagne, die Facebook-Konten entführt und Werbekampagnen für Unternehmen durchführt, verbreitet jetzt eine völlig neue Malware, die Informationen stiehlt.
Laut Forschern von Zscaler (wird in einem neuen Tab geöffnet) hat Ducktail zuvor LinkedIn verwendet, um in .NET Core geschriebene Malware zu verbreiten, die in einem Webbrowser gespeicherte Facebook-Geschäftskontodaten stehlen und an einen privaten Telegram-Kanal weitergeben würde, der als Malware fungierte. Command and Control (C2)-Server, der mit Zielsystemen kommuniziert, um Cyberangriffe zu koordinieren.
Jetzt wurde Ducktail jedoch bei der Verbreitung einer neuen Malware-Variante gesehen, die nicht nur Facebook-angrenzende Daten stehlen kann, sondern auch andere sensible Daten, die in Browsern gespeichert sind, wie Daten im Zusammenhang mit Krypto-Wallets, Währungen, Kontoinformationen und Daten .
Diebstahl von Browserdaten
Auch C2 hat sich geändert: Die Daten werden nicht mehr an einen Telegram-Kanal übermittelt, sondern an eine JSON-Webseite, die auch Konto-Token und andere Daten speichert, die für Betrug auf dem Gerät benötigt werden.
Zscaler behauptete auch, dass die Malware als Datei geteilt wurde, die auf einen legitimen Datei-Hosting-Dienst hochgeladen wurde. Die Angreifer stellten sicher, dass die Antivirensoftware die Malware nicht kennzeichnete, indem sie sie nur in den Arbeitsspeicher luden.
Benutzer können den Schaden von Ducktail und anderer Malware mindern, indem sie zu einem anonymen Browser wechseln oder einfach sicherstellen, dass keine vertraulichen Informationen im Browser ihrer Wahl gespeichert werden.
Dies ist besonders wichtig, denn wenn die Malware einen Endpunkt mit einem Facebook-Geschäftskonto kompromittiert, kann sie nach zusätzlichen sensiblen Finanzdaten wie PayPal-Daten suchen. Dazu gehören Beträge, die für bestimmte Käufe, Verifizierungsstatus usw. ausgegeben wurden.
In den meisten Fällen versuchen Angreifer, die Malware verwenden, Menschen zum Herunterladen zu verleiten, indem sie sie als Filmuntertiteldateien, Inhalte für Erwachsene oder unzulässige Software-Cracks präsentieren.
Es stimmt zwar, dass der neue Informationsdieb von Ducktail Antivirensoftware umgehen könnte, aber Software mit integriertem Webschutz könnte dennoch nützlich sein, indem sie den Zugriff auf verdächtige Websites blockiert, die ihn möglicherweise enthalten.
Über: BleepingComputer (Öffnet in einem neuen Tab)