Uma versão PHP do Ducktail está sendo distribuída como aplicativos crackeados. Essa descoberta foi realizada pela equipe de pesquisa do Zscaler ThreatLabz que observou essa versão PHP sendo distribuída na forma de instalador de aplicativos crackeados do Microsoft Office, Telegram e outros.
O Ducktail está ativo desde 2021 e especialistas dizem que pode ser operado por um grupo de ameaças vietnamitas. O principal alvo desta campanha de ataque é assumir as contas do Facebook Business.
Cadeia de Ataque dessa versão PHP do Ducktail
De acordo com a Zscaler, as “versões anteriores (observadas pelo WithSecure Labs) eram baseadas em um binário escrito usando .NetCore com Telegram como seu canal C2 para exfiltrar dados”.
No entanto, agora, o instalador malicioso está sendo hospedado em um site de hospedagem de arquivos. Ao comparar com as campanhas anteriores, os pesquisadores dizem que foram feitas mudanças na execução de código malicioso.
Além disso, os agentes de ameaças mudaram para uma versão de script em que o principal código do ladrão é um script PHP e não um binário .Net.
“Após a execução, o instalador falso exibe uma GUI ‘Verificando a compatibilidade do aplicativo’ no frontend. No backend, ele gera um arquivo .tmp que reinicia o instalador com o parâmetro “/Silent” e depois outro arquivo .tmp é gerado”, pesquisadores do Zscaler.
O script PHP consiste em código para descriptografar um arquivo de texto codificado em base64. A execução da versão descriptografada do arquivo de texto levará à execução do binário de agendamento de trabalho personalizado como resultado final.
De acordo com os pesquisadores, o código do ladrão é descriptografado em tempo de execução na memória e, em seguida, realiza operações de roubo e exfiltração de dados.
Funcionalidade do malware
O Malware conta com muitas funcionalidades. Buscar informações do navegador instalado no sistema é a primeira delas. Mas ele também: extrai informações armazenadas de cookies do navegador do sistema; segmenta contas comerciais do Facebook; procura informações de conta de criptografia no arquivo wallet.dat. e; coleta e envia os dados para o servidor de comando e controle (C&C).
Além disso, o script malicioso coleta informações sobre os navegadores instalados no sistema e extrai os dados essenciais dele, como machineID, versão do navegador e nome do arquivo, e copia esses dados.
O malware está sendo amplamente distribuído em aplicativos crackeados. Então, tome cuidado ao baixar esses tipos de aplicativos em seus dispositivos.