Një i njohur i vjetër është rikthyer në skenë me një maskë të re. Ekspertët e Zscaler kanë zbuluar një variant të ri të info-stealer Ducktail që synon llogaritë e Facebook Business për të aksesuar informacionin financiar. Këtë herë kodi është shkruar në PHP, por metoda e përdorur për shpërndarjen e malware ka mbetur e pandryshuar.
Ducktail: version i ri
Siç u përmend, metoda e përdorur për shpërndarjen e malware është e njëjtë me variantin e parë. Viktimat inkurajohen të shkarkojnë një version të supozuar pa pagesë ose “të plasaritur” të aplikacioneve ose lojërave të Office nga shërbimet e pritjes së skedarëve (MediaFire në këtë rast). Skedarët e ekzekutueshëm ruhen në formatin ZIP. Ndërsa viktima sheh mesazhin “Kontrollo përputhshmërinë e aplikacionit” në ekran, të gjithë skedarët e nevojshëm (përfshirë interpretuesin PHP) kopjohen në disk.
Prandaj, zinxhiri i infeksionit parashikon ekzekutimin e dy proceseve për po aq qëllime. E para shton aktivitetet e planifikuara për qëndrueshmëri, d.m.th. lëshimin e malware në intervale të rregullta. E dyta ka të bëjë me vjedhjen e informacionit, duke përfshirë cookie-t e shfletuesit dhe detajet e llogarisë së Facebook Business dhe Facebook Ads Manager. Këto të dhëna mund të përdoren për mashtrime financiare ose fushata të keqverifikimeve.
Dërgimi te serveri në distancë nuk bëhet më përmes një boti Telegram, por në format JSON. Sulmet e reja mund të drejtohen gjithashtu kundër përdoruesve privatë, jo vetëm ndaj punonjësve të korporatave që menaxhojnë fushatat reklamuese në Facebook. Prandaj, një zgjidhje sigurie që zbulon dhe bllokon këtë lloj kërcënimi është absolutisht thelbësore.
Discussion about this post