DuckTail, il malware scritto in PHP che ruba account Facebook e dati dai browser
La nuova versione di DuckTail evolve le sue caratteristiche e introduce un insolito script in PHP per far partire l’attacco sul dispositivo della vittima. Il pericolo si diffonde con programmi di crack e software a pagamento offerto “gratuitamente”, ma il rischio è che ci vengano rubate le informazioni personali salvate nel browser, come le password
Si chiama DuckTail la nuova variante di un particolare tipo di malware scritto in PHP e progettato per rubare informazioni personali dalle vittime, quindi con funzioni di infostealer.
Lo scopo di questa versione di DuckTail è prendere di mira account Facebook aziendali e pubblicitari, anche se ultimamente si sono registrati casi di infezione portati avanti contro utenti standard della piattaforma di social network.
Il malware abusa di popolari siti Web di condivisione file per diffondere versioni di crack o programmi piratati che in realtà contengono il suo codice malevolo.
DuckTail: l’infostealer malware scritto in PHP
DuckTail è stato scoperto per la prima volta dagli esperti di Zscaler nel 2021, ma negli ultimi giorni è stata registrata una sua massiccia diffusione sospinta anche dall’utilizzo di script PHP, all’interno di programmi che fingono di essere software piratato per Microsoft Office, giochi e contenuti per adulti.
Come funziona DuckTail
La novità di questa variante di DuckTail consiste nell’utilizzo insolito di PHP, il popolare linguaggio di programmazione, solitamente associato allo sviluppo Web. Uno script PHP dannoso viene attivato quando la vittima esegue il programma di installazione sul proprio dispositivo, dopo averlo scaricato. A questo punto, dal browser web della vittima gli attori della minaccia rubano i seguenti dati sensibili eseguendo codice arbitrario con l’aiuto di questo script PHP dannoso:
- portafogli di criptovaluta
- account Facebook Business
Un’importante evoluzione del malware, che lo differenzia rispetto alle sue prime versioni, evidenzia l’utilizzo di Telegram come canale per inviare informazioni agli aggressori, ma le versioni successive sono passate a un supporto diverso. In sostanza ora, gli attori delle minacce utilizzano un nuovo sito Web che archivia o ospita dati in formato JSON per stabilire le connessioni.
Tra le funzionalità che sono state riscontrate di questa variante, i ricercatori evidenziano la capacità di recuperare le informazioni sul browser installato nel sistema, estrarre informazioni memorizzate dei cookie del browser dal sistema e raccogliere il tutto per inviare i dati al server di comando e controllo (C&C).
Cosa impariamo in termini di sicurezza informatica
La scoperta di questa nuova variante del malware evidenzia come DuckTail non sia un progetto malevolo statico, ma in continua evoluzione, sottoposto a sviluppo costante e miglioramenti che ne amplificano le funzionalità e modificano di volta in volta gli impatti potenziali.
Anche la sua diffusione, mediante i canali di crack e download non certificati di software da installare sul proprio PC, fa riflettere su quanto questi canali, privi di ogni garanzia di sicurezza, siano ancora oggi molto utilizzati a livello globale.
Non bisogna mai dimenticare che l’installazione di simili pacchetti software è considerata una cattiva pratica per la propria sicurezza e della rete aziendale all’interno della quale si opera.
FONTE: cybersecurity360