www.lubbersdejong.nlProgressCommunications.euwww.marcommit.nl
ProgressCommunications.euINFLUX PRINFLUX PR

x.com/ictberichten
Deel dit nu via
Datum: (2 jaar en 90 dagen geleden)
Bedrijf:

Zscaler ThreatLabz waarschuwt voor nieuwe PHP-variant van Ducktail Infostealer gericht op Facebook Business-accounts

Amsterdam, 25 oktober 2022 - Bij het evalueren van de golf van infostealer-malware die de afgelopen maanden is verspreid, is het ThreatLabz-onderzoeksteam van Zscaler een verontrustende campagne tegengekomen. De PHP-versie van Ducktail Infostealer wordt actief gedistribueerd door zich voor te doen als een gratis applicatie-installatieprogramma voor verschillende applicaties, waaronder games, Microsoft Office-applicaties en Telegram. Ducktail bestaat al sinds 2021 en wordt toegeschreven aan een Vietnamese organisatie. Campagnes waren tot nu toe gericht op het overnemen van Facebook Business-accounts, zowel om pagina's te manipuleren als om toegang te krijgen tot financiële informatie.

Ducktail-infostealer toen en nu
De eerste gevallen van de Ducktail-infostealer werden eind 2021 geïdentificeerd. In juli 2022 constateerde WithSecure Labs dat de threat actors zich richten op werknemers met toegang tot het Facebook Business-account van hun organisatie, met de bedoeling gegevens te stelen en de accounts over te nemen. Eerdere versies (waargenomen door WithSecure Labs) waren gebaseerd op een binair bestand dat werd geschreven met .NetCore met Telegram als C2-kanaal om gegevens te exfiltreren.

In augustus 2022 zag het Zscaler Threatlabz-team een nieuwe campagne, bestaande uit een nieuwe editie van de Ducktail Infostealer met nieuwe TTP's. Net als oudere versies (.NetCore), is de nieuwste versie (PHP) ook bedoeld om gevoelige informatie te exfiltreren met betrekking tot opgeslagen browsergegevens, Facebook-accountinformatie en dergelijke. In deze campagne zag Zscaler dat de threat actors gegevens bewaren op een nieuw gehoste website in het JSON-formaat. Deze gegevens worden later gebruikt en opgeroepen voor een aanval op de computer van het slachtoffer. Zodra de inbraak is voltooid, wordt dezelfde website gebruikt om de gestolen gegevens op te slaan.

De threat actors richten zich nu op het grote publiek, in plaats van specifiek op werknemers met beheerders- of financiële toegang tot Facebook Business-accounts. Tijdens het verkennen van de campagne is vastgesteld dat de schadelijke uitvoerbare bestanden meestal in .ZIP-indeling zijn en worden gehost op platforms voor het delen van bestanden. Deze platforms doen zich voor als gekraakte of gratis versies van Office-applicaties, games, ondertitelingsbestanden, pornogerelateerde bestanden en dergelijke.

De volgende afbeelding is een weergave van hoe de PHP-versie van Ducktail-stealer wordt gedistribueerd en hoe deze wordt uitgevoerd op de computer van het slachtoffer.



Conclusie
Het lijkt erop dat de threat actors achter de Ducktail-stealercampagne voortdurend wijzigingen of verbeteringen aanbrengen in de leveringsmechanismen en -benadering, om zo een breed scala aan gevoelige gebruikers- en systeeminformatie te stelen van een grote groep gebruikers. Het ThreatLabz-team van Zscaler houdt de campagne continu in de gaten en zal eventuele nieuwe bevindingen naar buiten blijven brengen.

Bezoek de website voor een volledige technische analyse van de Ducktail-stealercampagne: https://www.zscaler.com/blogs/security-research/new-php-variant-ducktail-infostealer-targeting-facebook-business-accounts
Geplaatst:
Verstreken tijd: 2 jaar en 90 dagen
Zscaler contact  

Logo Zscaler

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo ClockAssist
Logo Human Journey
Logo The Factory
Logo Hively Nederland B.V.
Logo Reflex Online BV
Logo Awareways
Logo Decos
Logo theMatchBox
Logo Companial
Logo Heliview Conferences & Training
Logo CI Company
Logo 5S-company
Logo Companial
Logo Equote B.V.
Logo Simjo
Logo Techone B.V.
Logo Frontline Solutions
Logo Frontline Solutions
Logo Guardian360 bv
Logo Techone B.V.
Logo BarTrack
Logo Facilitor
Logo Twenty Four Webvertising
Logo SCOS Automaton BV
Logo SCOS Automaton BV
Logo We talk SEO B.V.
Logo Vlirdens
Logo Networking4ALL
Logo BusinessCom
Logo Botz4U
Logo Robbers & van den Hoogen
Logo NOBEARS
Logo Branddoctors
Logo Techone B.V.
Logo Taalklasse
Logo Xebia
Logo Flanderijn
Logo Geotab
Logo Pro Contact
Logo Atomeus
Logo Nextbase
Logo Kaspersky
Logo Top Employers Institute
Logo Onguard
Logo IG&H
TARIEVEN
> Publicatie eenmalig €49

BUNDELS
> 6 publicaties €199
> 12 publicaties €349
> Onbeperkt €499

EENMALIG PLAATSEN
> Persbericht aanleveren

VAKER PLAATSEN
> Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN OP X
> @ICTBERICHTEN

ZOEK
> IT bedrijf
> IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE STATS
> 100598 persberichten
> 6753 bedrijfsprofielen
> 51 PR-bureauprofielen
> 15266 tags

KENMERKEN
> Behouden tekstopmaak
> Foto/illustratie/logo
> Downloadbare bijlages
> Profiel met socials
 
www.lubbersdejong.nlProgressCommunications.euwww.marcommit.nl
ProgressCommunications.euProgressCommunications.euINFLUX PR