Một phiên bản PHP của phần mềm độc hại giả mạo Ducktail đang được sử dụng để xâm nhập tài khoản Facebook Business.
Các tài khoản Facebook Business hiện đang bị tấn công thông qua phiên bản PHP mới của dòng phần mềm độc hại Ducktail.
Phiên bản PHP mới của phần mềm độc hại Ducktail đặt người dùng Facebook vào rủi ro
Các chủ tài khoản Facebook Business hiện đang phải đối mặt với một mối đe dọa mới, có dạng một biến thể PHP của chương trình phần mềm độc hại Ducktail.
ZScaler, một công ty bảo mật đám mây, đã báo cáo phát hiện mới này trong một bài đăng trên blog ZScaler vào ngày 13 tháng 10. Phiên bản PHP mới đang được lan truyền giữa các thiết bị bằng cách “giả vờ là người cài đặt ứng dụng miễn phí / bẻ khóa”. Nó cũng nhắm vào các nền tảng khác nhau để lây nhiễm, bao gồm các ứng dụng Telegram và Microsoft Office.
Trong phiên bản Ducktail mới này, nhà điều hành đã thay đổi phương thức thực thi phần mềm độc hại, chuyển đổi tập lệnh PHP thay vì tệp nhị phân .Net đã sử dụng trước đó. Sau khi ứng dụng được cài đặt, nạn nhân sẽ được thông báo rằng nó đang “kiểm tra tính tương thích của ứng dụng”, trong thực tế, hai tệp .tmp đang được tạo.
Tập tin thứ hai trong số hai tập tin này có khả năng loại bỏ mã độc. Sau đó, tệp “thực hiện hai quy trình” để đạt được cả hai yếu tố bền bỉ và đánh cắp dữ liệu.
Phần mềm độc hại Ducktail đã xuất hiện từ năm 2021
Phiên bản gốc của phần mềm độc hại Ducktail được phát hiện lần đầu tiên vào cuối năm 2021 và được kết nối với một nhà mạng Việt Nam đang sử dụng nó để hack tài khoản Facebook Business và Ads Manager.
Trong bài đăng trên blog nói trên, ZScaler đã thảo luận về chủng Ducktail ban đầu, có thể “thao túng các trang và truy cập thông tin tài chính”. Các cuộc tấn công được công nhận là có mục tiêu cao và thậm chí có khả năng vượt qua hàng rào bảo mật của Facebook. Những người dùng có địa vị cao trong một công ty đã bị nhắm mục tiêu trong các cuộc tấn công này, vì họ đã được cấp các quyền nâng cao.
Ducktail cũng có thể cố gắng truy cập mã xác thực hai yếu tố để trốn tránh lớp bảo vệ tài khoản bổ sung này. Nhiều loại dữ liệu khác nhau được nhắm mục tiêu bởi người đưa tin Ducktail, bao gồm chi tiết thanh toán, địa chỉ email và thông tin khách hàng.
Thông tin Người dùng Vẫn có Rủi ro với Trình thông báo PHP
Biến thể PHP của Ducktail infostealer cũng dựa trên dữ liệu nhạy cảm có thể bị khai thác để thu lợi tài chính. Ngay cả những cá nhân có các biện pháp đăng nhập bảo vệ cũng có thể gặp rủi ro.
Có vẻ như thông tin thanh toán cũng là trọng tâm của phần mềm độc hại PHP Ducktail mới này, cũng như địa chỉ email, hồ sơ thanh toán, nguồn tài trợ và trạng thái tài khoản.
Cả hai phiên bản đuôi vịt đều rất nguy hiểm
Phần mềm độc hại Ducktail ban đầu và biến thể PHP của nó có nhiều điểm tương đồng và gây ra mối đe dọa đáng kể đối với tài khoản Facebook Business và dữ liệu nhạy cảm mà chúng lưu trữ. Tác giả của Ducktail có thể tiếp tục tạo các phiên bản tiếp theo của mã gốc của họ để cải thiện hơn nữa việc thực hiện các cuộc tấn công của họ. Thời gian sẽ trả lời liệu điều này có đúng như vậy không.