adlı bir bilgi çalan kötü amaçlı yazılımın PHP sürümü Ördek kuyruğu Zscaler’ın en son bulgularına göre, yasal uygulamalar ve oyunlar için crackli yükleyiciler şeklinde dağıtıldığı vahşi doğada keşfedildi.
Zscaler ThreatLabz araştırmacıları Tarun Dewan ve Stuti Chaturvedi, “Eski sürümler (.NetCore) gibi, en son sürüm (PHP) de kayıtlı tarayıcı kimlik bilgileri, Facebook hesap bilgileri vb. ile ilgili hassas bilgileri sızdırmayı hedefliyor.” söz konusu.
2021’in sonlarında tehdit ortamında ortaya çıkan Ducktail, kötü amaçlı yazılım öncelikle Facebook işletme ve reklam hesaplarını ele geçirmek için tasarlanmış, isimsiz bir Vietnamlı tehdit aktörüne atfediliyor.
Mali güdümlü siber suç operasyonu ilk olarak Temmuz 2022’nin sonlarında Fin siber güvenlik şirketi WithSecure (eski adıyla F-Secure) tarafından belgelendi.
Kötü amaçlı yazılımın önceki sürümlerinin, bilgileri sızdırmak için bir komut ve kontrol (C2) kanalı olarak Telegram’ı kullandığı bulunurken, Ağustos 2022’de tespit edilen PHP varyantı, verileri JSON biçiminde depolamak için yeni barındırılan bir web sitesine bağlantılar kurar.
Zscaler tarafından gözlemlenen saldırı zincirleri, kötü amaçlı yazılımın mediafire gibi dosya paylaşım hizmetlerinde barındırılan ZIP arşiv dosyalarına gömülmesini gerektirir.[.]com, Microsoft Office’in, oyunların ve pornoyla ilgili dosyaların kırık sürümleri gibi görünen.
Yükleyicinin yürütülmesi, sırayla, web tarayıcılarından, kripto para cüzdanlarından ve Facebook Business hesaplarından veri çalmaktan ve sızdırmaktan sorumlu kodu başlatan bir PHP betiğini etkinleştirir.
Araştırmacılar, “Ördek Kuyruğu hırsızlığı kampanyasının arkasındaki tehdit aktörleri, dağıtım mekanizmalarında sürekli olarak değişiklik veya iyileştirme yapıyor ve geniş bir yelpazede kullanıcıları hedef alan çok çeşitli hassas kullanıcı ve sistem bilgilerini çalmaya yaklaşıyor gibi görünüyor” dedi.