Ducktail, une campagne de phishing bien connue qui détourne les comptes Facebook exécutant des campagnes publicitaires pour les entreprises, distribue désormais de tout nouveaux logiciels malveillants voleurs d'informations.
Selon les chercheurs de Zscaler (ouvre dans un nouvel onglet), Ducktail utilisait auparavant LinkedIn pour distribuer des logiciels malveillants écrits en .NET Core qui volaient les données du compte professionnel Facebook stockées dans un navigateur Web et les divulguaient vers un canal Telegram privé qui agissait comme un logiciel malveillant. serveur de commande et de contrôle (C2), qui communique avec les systèmes cibles pour coordonner les cyberattaques.
Maintenant, cependant, Ducktail a été vu en train de distribuer une nouvelle variante de logiciel malveillant qui peut non seulement voler des données adjacentes à Facebook, mais également d'autres données sensibles stockées dans les navigateurs, telles que des données liées aux portefeuilles cryptographiques, à la devise, aux informations de compte et aux bases du système. .
Vol de données du navigateur
C2 a également été modifié : les données ne sont plus transmises à un canal Telegram, mais à un site Web JSON qui stocke également des jetons de compte et d'autres données nécessaires à la fraude sur l'appareil.
Zscaler a également affirmé que le logiciel malveillant était partagé sous la forme d'un fichier téléchargé sur un service d'hébergement de fichiers légitime. Les attaquants, disent-ils, se sont assurés que le logiciel antivirus ne signalait pas le logiciel malveillant en le chargeant uniquement en mémoire.
Les utilisateurs peuvent atténuer les dommages causés par Ducktail et d'autres logiciels malveillants en passant à un navigateur anonyme ou en s'assurant simplement de ne pas enregistrer d'informations sensibles dans le navigateur de leur choix.
Ceci est particulièrement important car si le logiciel malveillant compromet un terminal avec un compte professionnel Facebook, il peut rechercher des détails financiers sensibles supplémentaires, tels que les données PayPal. Cela inclut les montants dépensés pour certains achats, les statuts de vérification, etc.
Dans la plupart des cas, les attaquants utilisant des logiciels malveillants tentent d'inciter les gens à les télécharger en les présentant comme des fichiers de sous-titres de films, du contenu pour adultes ou des fissures de logiciels illégitimes.
S'il est vrai que le nouveau voleur d'informations de Ducktail pourrait échapper aux logiciels antivirus, les logiciels fournis avec une protection Web intégrée pourraient toujours être utiles en bloquant l'accès aux sites suspects qui pourraient en avoir.
Via : BleepingComputer (Ouvre dans un nouvel onglet)