Nueva versión PHP del malware Ducktail está secuestrando cuentas comerciales de Facebook

Se descubrió una versión PHP de una malware de robo de información llamado Ducktail, que se distribuye en forma de instaladores descifrados para aplicaciones y juegos legítimos, según los últimos hallazgos de Zscaler.

Ducktail, que surgió en el panorama de amenazas a fines de 2021, se atribuye a un actor de amenazas vietnamieta no identificado, con el malware diseñado principalmente para secuestrar cuentas comerciales y publicitarias de Facebook.

La operación cibercriminal con motivación financiera fue documentada por primera vez por la compañía finlandesa de seguridad cibernética WithSecrure (antes F-Secure) a finales de julio de 2022.

Parece que los actores de amenazas detrás de la campaña del ladrón Ducktail están continuamente haciendo cambios o mejoras en los mecanismos de entrega y el enfoque para robar una amplia variedad de información confidencial del usuario y del sistema dirigida a los usuarios en general.

Aunque se descubrió que las versiones anteriores del malware usaban Telegram como un canal de comando y control (C2) para filtrar información, la variante de PHP detectada en agosto de 2022 establece conexiones a un sitio web recién alojado para almacenar los datos en formato JSON.

Las cadenas de ataque observadas por Zscaler implican incrustar el malware en archivos ZIP alojados en servicios de intercambio de archivos como mediafire[.]com, haciéndose pasar por versiones descifradas de Microsoft Office, juegos y archivos relacionados con material pornográfico.

La ejecución del instalador, a su vez, activa un script PHP que, en última instancia, inicia el código responsable de robar y extraer datos de los navegadores web, las billeteras de criptomonedas y las cuentas de Facebook Business.

Mantente protegido

Como puedes leer, el malware y vulnerabilidades en los sistemas siempre están actualizándose y siendo cada vez más sofisticados, es por esto que debemos de defendernos con soluciones que sean avanzadas y se estén actualizando siempre, los antivirus son una solución que ayuda, pero no es suficiente contra estos atacantes que logran burlar estos tipos de programas en nuestras computadoras y servidores, un EDR es una buena solución que podemos utilizar para defender nuestros sistemas, conoce más de nuestros servicios.

Sobre Nosotros

Somos una consultoría especializada en la seguridad de información, que por medio de una gama de consultores expertos en la materia, brindamos soluciones a los problemas tecnológicos que enfrentan las diferentes industrias.

Nuestros Servicios

Consultoría de Ciberseguridad

Ubicacion

Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.