Ducktail, una nota campagna di phishing che dirotta gli account Facebook che pubblicano campagne pubblicitarie per le aziende, sta ora distribuendo nuovissimi malware in grado di rubare dati.
Secondo i ricercatori di Zscaler (si apre in una nuova scheda), Ducktail aveva precedentemente utilizzato LinkedIn per distribuire malware scritto in .NET Core che avrebbe rubato i dati degli account aziendali di Facebook archiviati in un browser Web e li avrebbe fatti trapelare su un canale Telegram privato, che si comportava come malware. server di comando e controllo (C2), che comunica con i sistemi bersaglio per coordinare gli attacchi informatici.
Ora, tuttavia, Ducktail è stato visto distribuire una nuova variante di malware in grado non solo di rubare dati adiacenti a Facebook, ma anche altri dati sensibili archiviati nei browser, come dati relativi a portafogli crittografici, valuta, informazioni sull'account e dati. il sistema.
Furto di dati del browser
Anche il C2 è stato modificato: i dati non vengono più trasmessi a un canale Telegram, ma a un sito JSON che memorizza sul dispositivo anche token di account e altri dati necessari per le frodi.
Zscaler ha inoltre affermato che il malware è stato condiviso come file caricato su un servizio di file hosting legittimo. Gli aggressori, dicono, si sono assicurati che il software antivirus non segnalasse il malware caricandolo solo in memoria.
Gli utenti possono mitigare i danni causati da Ducktail e altri malware passando a un browser anonimo o semplicemente assicurandosi di non salvare informazioni sensibili nel browser di loro scelta.
Ciò è particolarmente importante perché se il malware compromette un endpoint con un account aziendale di Facebook, può cercare ulteriori dettagli finanziari sensibili, come i dati PayPal. Ciò include gli importi spesi per determinati acquisti, stati di verifica, ecc.
Nella maggior parte dei casi, gli aggressori che utilizzano malware cercano di indurre le persone a scaricarlo presentandolo come file di sottotitoli di film, contenuti per adulti o crack di software illegittimi.
Sebbene sia vero che il nuovo ladro di informazioni di Ducktail potrebbe eludere il software antivirus, il software fornito con protezione web integrata potrebbe comunque essere utile bloccando l'accesso a siti sospetti che potrebbero averlo.
Via: BleepingComputer (si apre in una nuova scheda)