Ducktail، وهي حملة تصيد احتيالي معروفة تختطف حسابات Facebook التي تدير حملات إعلانية للشركات، تقوم الآن بتوزيع برنامج ضار جديد.
وفقًا للباحثين في Zscaler، استخدم Ducktail سابقًا LinkedIn لتوزيع قطعة من البرامج الضارة المكتوبة في .NET Core من شأنها سرقة بيانات حساب Facebook Business المخزنة في متصفح الويب وتسربها إلى قناة Telegram خاصة والتي كان بمثابة خادم القيادة والسيطرة (C2) للبرامج الضارة، حيث يتواصل مع الأنظمة المستهدفة لتنسيق الهجمات الإلكترونية.
الآن، ومع ذلك، تم رصد Ducktail وهو يوزع متغيرًا جديدًا للبرامج الضارة لا يمكنه فقط سرقة البيانات المجاورة لـ Facebook، ولكن أيضًا البيانات الحساسة الأخرى المخزنة في المتصفحات، مثل البيانات المتعلقة بمحافظ العملة المشفرة، ومعلومات الحساب، وبيانات النظام الأساسية.
سرقة بيانات المتصفح
تم أيضًا تغيير C2- لم تعد البيانات تذهب إلى قناة Telegram، بل إلى موقع ويب JSON يخزن أيضًا الرموز المميزة للحساب والبيانات الأخرى اللازمة للاحتيال على الجهاز.
ادعى Zscaler أيضًا أن البرامج الضارة تتم مشاركتها كملف أرشيف تم تحميله إلى خدمة استضافة ملفات شرعية. يقولون إن المهاجمين تأكدوا من أن البرامج الضارة لا يتم الإبلاغ عنها بواسطة برامج مكافحة الفيروسات من خلال تحميلها في الذاكرة فقط.
يمكن للمستخدمين تخفيف الضرر الناجم عن Ducktail والبرامج الضارة الأخرى عن طريق التبديل إلى متصفح مجهول، أو ببساطة التأكد من عدم حفظ المعلومات الحساسة في المتصفح الذي يختارونه.
هذا مهم بشكل خاص لأنه في حالة اختراق البرامج الضارة لنقطة نهاية باستخدام حساب Facebook Business، فقد يبحثون عن تفاصيل مالية حساسة إضافية مثل بيانات PayPal. يتضمن هذا المبالغ التي تم إنفاقها على عمليات شراء معينة وحالات التحقق والمزيد.
في معظم الحالات، يحاول المهاجمون الذين يستخدمون البرامج الضارة خداع الأشخاص لتنزيلها من خلال تقديمها كملفات ترجمة للأفلام أو محتوى للبالغين أو برامج غير شرعية.
في حين أنه من الصحيح أن أداة المعلومات الجديدة لـ Ducktail قد تتهرب من برامج مكافحة الفيروسات، إلا أن البرامج التي تأتي مع حماية مدمجة للويب يمكن أن تساعد في منعها من خلال حظر الوصول إلى المواقع المشبوهة التي قد تحملها.
وفقًا للباحثين في Zscaler، استخدم Ducktail سابقًا LinkedIn لتوزيع قطعة من البرامج الضارة المكتوبة في .NET Core من شأنها سرقة بيانات حساب Facebook Business المخزنة في متصفح الويب وتسربها إلى قناة Telegram خاصة والتي كان بمثابة خادم القيادة والسيطرة (C2) للبرامج الضارة، حيث يتواصل مع الأنظمة المستهدفة لتنسيق الهجمات الإلكترونية.
الآن، ومع ذلك، تم رصد Ducktail وهو يوزع متغيرًا جديدًا للبرامج الضارة لا يمكنه فقط سرقة البيانات المجاورة لـ Facebook، ولكن أيضًا البيانات الحساسة الأخرى المخزنة في المتصفحات، مثل البيانات المتعلقة بمحافظ العملة المشفرة، ومعلومات الحساب، وبيانات النظام الأساسية.
سرقة بيانات المتصفح
تم أيضًا تغيير C2- لم تعد البيانات تذهب إلى قناة Telegram، بل إلى موقع ويب JSON يخزن أيضًا الرموز المميزة للحساب والبيانات الأخرى اللازمة للاحتيال على الجهاز.
ادعى Zscaler أيضًا أن البرامج الضارة تتم مشاركتها كملف أرشيف تم تحميله إلى خدمة استضافة ملفات شرعية. يقولون إن المهاجمين تأكدوا من أن البرامج الضارة لا يتم الإبلاغ عنها بواسطة برامج مكافحة الفيروسات من خلال تحميلها في الذاكرة فقط.
يمكن للمستخدمين تخفيف الضرر الناجم عن Ducktail والبرامج الضارة الأخرى عن طريق التبديل إلى متصفح مجهول، أو ببساطة التأكد من عدم حفظ المعلومات الحساسة في المتصفح الذي يختارونه.
هذا مهم بشكل خاص لأنه في حالة اختراق البرامج الضارة لنقطة نهاية باستخدام حساب Facebook Business، فقد يبحثون عن تفاصيل مالية حساسة إضافية مثل بيانات PayPal. يتضمن هذا المبالغ التي تم إنفاقها على عمليات شراء معينة وحالات التحقق والمزيد.
في معظم الحالات، يحاول المهاجمون الذين يستخدمون البرامج الضارة خداع الأشخاص لتنزيلها من خلال تقديمها كملفات ترجمة للأفلام أو محتوى للبالغين أو برامج غير شرعية.
في حين أنه من الصحيح أن أداة المعلومات الجديدة لـ Ducktail قد تتهرب من برامج مكافحة الفيروسات، إلا أن البرامج التي تأتي مع حماية مدمجة للويب يمكن أن تساعد في منعها من خلال حظر الوصول إلى المواقع المشبوهة التي قد تحملها.
