El equipo de investigación de Zscaler ThreatLabz observó una versión PHP de ‘Ducktail’ Infostealer distribuida en forma de instalador de aplicaciones crackeadas para una variedad de aplicaciones, incluidos juegos, aplicaciones de Microsoft Office , Telegram y otras.
En particular, Ducktail ha estado activo desde 2021; los expertos dicen que podría ser operado por un grupo de amenazas vietnamitas. El objetivo principal de esta campaña de ataque es apoderarse de las cuentas de Facebook Business.
La cadena de ataque
«Las versiones anteriores ( observadas por WithSecure Labs) se basaban en un binario escrito usando .NetCore con Telegram como su canal C2 para filtrar datos», Zscaler
En este caso, el instalador malicioso está alojado en un sitio web de alojamiento de archivos. Al comparar con las campañas anteriores, los investigadores dicen que se han realizado cambios en la ejecución de código malicioso. Además, los actores de amenazas han cambiado a una versión de secuencias de comandos en la que el código principal del ladrón es una secuencia de comandos PHP y no un binario .Net.
Flujo de ataque
“Después de la ejecución, el instalador falso muestra una GUI de ‘Comprobación de compatibilidad de aplicaciones’ en la interfaz. En el backend, genera un archivo .tmp que reinicia el instalador con el parámetro “/Silent” y luego se genera otro archivo .tmp”, investigadores de Zscaler.
El script PHP consiste en un código para descifrar un archivo de texto codificado en base64. La ejecución de la versión descifrada del archivo de texto conducirá a la ejecución del binario de programación de trabajos personalizado como resultado final.
Los investigadores dicen que el código del ladrón se descifra en tiempo de ejecución en la memoria y luego realiza operaciones de robo y exfiltración de datos.
Funcionalidad del Malware
- Obtiene información del navegador instalado en el sistema.
- Extrae la información almacenada de las cookies del navegador del sistema.
- Se dirige a las cuentas de empresas de Facebook.
- Busca información de la cuenta criptográfica en el archivo wallet.dat.
- Recopila y envía los datos al servidor de comando y control (C&C).
Además, el script malicioso recopila información sobre los navegadores instalados en el sistema y extrae los datos esenciales, como el ID de la máquina, la versión del navegador y el nombre del archivo, y copia estos datos.
Dirigirse a páginas de Facebook para robar información
En este caso, el malware examina las distintas páginas de Facebook para robar información. Estas páginas pertenecen al gráfico API de Facebook, al administrador de anuncios de Facebook y a las cuentas comerciales de Facebook.
Al buscar los enlaces del administrador de anuncios comerciales de Facebook, el código malicioso accederá a los detalles de las cuentas y los ciclos de pago. El malware intenta obtener la lista de detalles de las páginas de Facebook Business:
- Pago iniciado
- Pago requerido
- Estado de verificación
- Cuentas publicitarias del propietario
- El monto gastado
- Detalles de moneda
- Estado de la cuenta
- Ciclo de pago de anuncios
- Fuente de financiamiento
- Método de pago [tarjeta de crédito, tarjeta de débito, etc.]
- Método de pago Paypal [dirección de correo electrónico]
- páginas propias.
Posteriormente, el script PHP intenta conectarse al servidor C&C para obtener la lista de contenidos almacenados en formato JSON, que luego se utilizará para recopilar información.