Une version PHP d’un logiciel malveillant voleur d’informations appelé Queue de canard a été découvert dans la nature et distribué sous la forme d’installateurs piratés pour des applications et des jeux légitimes, selon les dernières découvertes de Zscaler.
« Comme les anciennes versions (.NetCore), la dernière version (PHP) vise également à exfiltrer des informations sensibles liées aux identifiants de navigateur enregistrés, aux informations de compte Facebook, etc. », Tarun Dewan et Stuti Chaturvedi, chercheurs de Zscaler ThreatLabz. a dit.
Ducktail, qui a émergé dans le paysage des menaces à la fin de 2021, est attribué à un acteur menaçant vietnamien anonyme, le malware étant principalement conçu pour détourner les comptes commerciaux et publicitaires de Facebook.
L’opération cybercriminelle à motivation financière a été documentée pour la première fois par la société finlandaise de cybersécurité WithSecure (anciennement F-Secure) fin juillet 2022.
Alors que les versions précédentes du logiciel malveillant utilisaient Telegram comme canal de commande et de contrôle (C2) pour exfiltrer des informations, la variante PHP repérée en août 2022 établit des connexions à un site Web nouvellement hébergé pour stocker les données au format JSON.
Les chaînes d’attaque observées par Zscaler impliquent l’intégration du logiciel malveillant dans des fichiers d’archive ZIP hébergés sur des services de partage de fichiers comme mediafire[.]com, se faisant passer pour des versions crackées de Microsoft Office, de jeux et de fichiers liés à la pornographie.
L’exécution du programme d’installation, à son tour, active un script PHP qui lance finalement le code responsable du vol et de l’exfiltration des données des navigateurs Web, des portefeuilles de crypto-monnaie et des comptes Facebook Business.
« Il semble que les acteurs de la menace à l’origine de la campagne de voleurs de Ducktail apportent continuellement des modifications ou des améliorations aux mécanismes de livraison et à l’approche pour voler une grande variété d’informations sensibles sur les utilisateurs et le système ciblant les utilisateurs en général », ont déclaré les chercheurs.