Ducktail ซึ่งเป็นแคมเปญฟิชชิ่งที่รู้จักกันดีซึ่งทำการไฮแจ็กบัญชี Facebook ที่ใช้งานแคมเปญโฆษณาสำหรับธุรกิจ กำลังเผยแพร่มัลแวร์ขโมยข้อมูลตัวใหม่ทั้งหมด
ตามที่นักวิจัยของ Zscaler (เปิดในแท็บใหม่) Ducktail เคยใช้ LinkedIn เพื่อเผยแพร่มัลแวร์ที่เขียนด้วย .NET Core ที่จะขโมยข้อมูลบัญชีธุรกิจของ Facebook ที่เก็บไว้ในเว็บเบราว์เซอร์และรั่วไหลไปยังช่องทาง Telegram ส่วนตัว ซึ่งทำหน้าที่เป็นมัลแวร์ เซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ซึ่งสื่อสารกับระบบเป้าหมายเพื่อประสานการโจมตีทางไซเบอร์
อย่างไรก็ตาม ขณะนี้ Ducktail ได้รับการเผยแพร่มัลแวร์รูปแบบใหม่ที่ไม่เพียงแต่สามารถขโมยข้อมูลที่ติดกับ Facebook เท่านั้น แต่ยังรวมถึงข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่จัดเก็บไว้ในเบราว์เซอร์ เช่น ข้อมูลที่เกี่ยวข้องกับกระเป๋าเงินคริปโต สกุลเงิน ข้อมูลบัญชี และข้อมูลพื้นฐานของระบบ .
การโจรกรรมข้อมูลเบราว์เซอร์
C2 ได้รับการเปลี่ยนแปลงเช่นกัน: ข้อมูลจะไม่ถูกส่งไปยังช่องสัญญาณโทรเลขอีกต่อไป แต่ไปยังเว็บไซต์ JSON ที่เก็บโทเค็นบัญชีและข้อมูลอื่น ๆ ที่จำเป็นสำหรับการฉ้อโกงบนอุปกรณ์
Zscaler ยังอ้างว่ามัลแวร์ถูกแชร์เป็นไฟล์ที่อัปโหลดไปยังบริการโฮสต์ไฟล์ที่ถูกต้อง พวกเขากล่าวว่าผู้โจมตีทำให้แน่ใจว่าซอฟต์แวร์ป้องกันไวรัสไม่ได้ตั้งค่าสถานะมัลแวร์โดยการโหลดในหน่วยความจำเท่านั้น
ผู้ใช้สามารถลดความเสียหายของ Ducktail และมัลแวร์อื่นๆ ได้ด้วยการเปลี่ยนไปใช้เบราว์เซอร์ที่ไม่ระบุตัวตนหรือทำให้แน่ใจว่าไม่ได้บันทึกข้อมูลที่ละเอียดอ่อนไว้ในเบราว์เซอร์ที่ตนเลือก
สิ่งนี้มีความสำคัญอย่างยิ่ง เนื่องจากหากมัลแวร์โจมตีปลายทางที่มีบัญชีธุรกิจของ Facebook มัลแวร์จะสามารถค้นหารายละเอียดทางการเงินที่ละเอียดอ่อนเพิ่มเติมได้ เช่น ข้อมูล PayPal ซึ่งรวมถึงจำนวนเงินที่ใช้ในการซื้อบางอย่าง สถานะการยืนยัน ฯลฯ
ในกรณีส่วนใหญ่ ผู้โจมตีที่ใช้มัลแวร์จะพยายามหลอกล่อผู้คนให้ดาวน์โหลดโดยนำเสนอเป็นไฟล์คำบรรยายภาพยนตร์ เนื้อหาสำหรับผู้ใหญ่ หรือแคร็กซอฟต์แวร์ผิดกฎหมาย
แม้ว่าตัวขโมยข้อมูลใหม่ของ Ducktail สามารถหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสได้ แต่ซอฟต์แวร์ที่มาพร้อมกับการป้องกันเว็บในตัวยังคงมีประโยชน์โดยบล็อกการเข้าถึงเว็บไซต์ที่น่าสงสัยที่อาจมี
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)