Versi PHP Baru dari Ducktail info-stealer membajak akun Facebook Business

idNSA.id - Peneliti Zscaler menemukan versi PHP dari malware pencuri informasi yang dilacak sebagai Ducktail. Malicious code didistribusikan sebagai penginstal aplikasi gratis / cracked untuk berbagai aplikasi termasuk game, aplikasi Microsoft Office, Telegram, dan lainnya.

Ducktail telah aktif sejak 2021, para ahli percaya itu dioperasikan oleh kelompok ancaman Vietnam. Pada Juli 2022, peneliti dari WithSecure (sebelumnya F-Secure Business) menemukan kampanye DUCKTAIL yang menargetkan individu dan organisasi yang beroperasi di platform Bisnis dan Iklan Facebook.

Pelaku ancaman menargetkan individu dan karyawan yang mungkin memiliki akses ke akun Facebook Business, mereka menggunakan malware pencuri informasi yang mencuri cookie browser dan menyalahgunakan session Facebook yang diautentikasi untuk mencuri informasi dari akun Facebook korban.

Tujuan akhirnya adalah membajak akun Facebook Business yang dikelola oleh para korban.

Pelaku ancaman menargetkan individu dengan peran manajerial, pemasaran digital, media digital, dan sumber daya manusia di perusahaan. Penyerang menghubungkan korban melalui LinkedIn, beberapa sampel yang diamati oleh para ahli telah di-host di file atau layanan cloud hosting, seperti Dropbox, iCloud, dan MediaFire.

Sampel DUCKTAIL yang dianalisis di masa lalu ditulis dalam .NET Core dan dikompilasi menggunakan fitur file tunggal.

“Versi sebelumnya (diamati oleh WithSecure Labs) didasarkan pada biner yang ditulis menggunakan .NetCore dengan Telegram sebagai Saluran C2 untuk mengekstrak data.” membaca analisis yang diterbitkan oleh Zscaler. “Pada Agustus 2022, tim Zscaler Threatlabz ​​melihat kampanye baru yang terdiri dari edisi baru Ducktail Infostealer dengan TTP baru. Seperti versi lama (.NetCore), versi terbaru (PHP) juga bertujuan untuk mengekstrak informasi sensitif terkait dengan kredensial browser yang disimpan, informasi akun Facebook, dll.”

Dalam kampanye ini, para pelaku ancaman menggunakan situs web baru untuk menampung data. Data disimpan dalam format JSON dan digunakan untuk melakukan aktivitas pencurian. Host yang sama digunakan untuk menyimpan data yang dicuri dari para korban.

Tidak seperti kampanye Ducktail sebelumnya, kampanye terbaru menargetkan masyarakat luas, bukan karyawan tertentu dengan akses Admin atau Keuangan ke akun Facebook Business.

Malware ini didistribusikan dalam file .ZIP yang dihosting di platform berbagi file (yaitu mediafire[.]com), menyamar sebagai aplikasi Office, game, file subtitle, file terkait porno, dan lain-lain versi gratis atau  cracked.

Dalam kampanye terakhir, Malicious code adalah skrip PHP yang meluncurkan kode yang digunakan untuk mencuri data dari browser korban, cryptocurrency wallet, dan akun Facebook Business.

Malware mencapai kegigihan dengan memicu serangkaian peristiwa untuk mengeksekusi muatan berbahaya bernama "libbridged.exe." Eksekusi menjadwalkan tugas dalam tiga bentuk untuk memastikan bahwa malicious code dieksekusi setiap hari dan secara berkala.

Setelah dieksekusi, malware memeriksa berbagai halaman Facebook untuk mencuri informasi dari mereka. Halaman yang dianalisis oleh malicious code API Facebook API Graph, Pengelola Iklan Facebook, dan akun Facebook Business. Itu mengambil ID Pengguna unik dari komputer korban menggunakan argumen c_user.

Melihat melalui tautan Pengelola Iklan Bisnis Facebook, malicious code akan mengakses detail akun dan siklus pembayaran.

Berikut ini adalah daftar detail yang coba diambil malware dari halaman Facebook Business:  Pembayaran dimulai, Pembayaran diperlukan, Status Verifikasi, Akun iklan pemilik, Jumlah yang dibelanjakan, Detail mata uang, Status akun, Siklus Pembayaran Iklan, Sumber pendanaan, Metode pembayaran [ kartu kredit, kartu debit, dll.], Metode Pembayaran Paypal [alamat email], Halaman yang dimiliki.

“Tampaknya pelaku ancaman di balik kampanye pencuri Ducktail terus membuat perubahan atau peningkatan dalam mekanisme pengiriman dan pendekatan untuk mencuri berbagai pengguna sensitif dan informasi sistem yang menargetkan pengguna pada umumnya.” menyimpulkan laporan. “Tim ThreatLabz Zscaler terus memantau kampanye dan akan mengungkap temuan baru yang akan ditemukan.”