Amsterdam, 25 oktober 2022 - Bij het evalueren van de golf van infostealer-malware die de afgelopen maanden is verspreid, is het ThreatLabz-onderzoeksteam van
Zscaler een verontrustende campagne tegengekomen. De PHP-versie van Ducktail Infostealer wordt actief gedistribueerd door zich voor te doen als een gratis applicatie-installatieprogramma voor verschillende applicaties, waaronder games, Microsoft Office-applicaties en Telegram. Ducktail bestaat al sinds 2021 en wordt toegeschreven aan een Vietnamese organisatie. Campagnes waren tot nu toe gericht op het overnemen van Facebook Business-accounts, zowel om pagina's te manipuleren als om toegang te krijgen tot financiële informatie.
Ducktail-infostealer toen en nu
De eerste gevallen van de Ducktail-infostealer werden eind 2021 geïdentificeerd. In juli 2022 constateerde WithSecure Labs dat de threat actors zich richten op werknemers met toegang tot het Facebook Business-account van hun organisatie, met de bedoeling gegevens te stelen en de accounts over te nemen. Eerdere versies (waargenomen door WithSecure Labs) waren gebaseerd op een binair bestand dat werd geschreven met .NetCore met Telegram als C2-kanaal om gegevens te exfiltreren.
In augustus 2022 zag het Zscaler Threatlabz-team een nieuwe campagne, bestaande uit een nieuwe editie van de Ducktail Infostealer met nieuwe TTP's. Net als oudere versies (.NetCore), is de nieuwste versie (PHP) ook bedoeld om gevoelige informatie te exfiltreren met betrekking tot opgeslagen browsergegevens, Facebook-accountinformatie en dergelijke. In deze campagne zag Zscaler dat de threat actors gegevens bewaren op een nieuw gehoste website in het JSON-formaat. Deze gegevens worden later gebruikt en opgeroepen voor een aanval op de computer van het slachtoffer. Zodra de inbraak is voltooid, wordt dezelfde website gebruikt om de gestolen gegevens op te slaan.
De threat actors richten zich nu op het grote publiek, in plaats van specifiek op werknemers met beheerders- of financiële toegang tot Facebook Business-accounts. Tijdens het verkennen van de campagne is vastgesteld dat de schadelijke uitvoerbare bestanden meestal in .ZIP-indeling zijn en worden gehost op platforms voor het delen van bestanden. Deze platforms doen zich voor als gekraakte of gratis versies van Office-applicaties, games, ondertitelingsbestanden, pornogerelateerde bestanden en dergelijke.
De volgende afbeelding is een weergave van hoe de PHP-versie van Ducktail-stealer wordt gedistribueerd en hoe deze wordt uitgevoerd op de computer van het slachtoffer.
Conclusie
Het lijkt erop dat de threat actors achter de Ducktail-stealercampagne voortdurend wijzigingen of verbeteringen aanbrengen in de leveringsmechanismen en -benadering, om zo een breed scala aan gevoelige gebruikers- en systeeminformatie te stelen van een grote groep gebruikers. Het ThreatLabz-team van Zscaler houdt de campagne continu in de gaten en zal eventuele nieuwe bevindingen naar buiten blijven brengen.
Bezoek de website voor een volledige technische analyse van de Ducktail-stealercampagne:
https://www.zscaler.com/blogs/security-research/new-php-variant-ducktail-infostealer-targeting-facebook-business-accounts