Facebook Businessi kontosid rünnatakse nüüd Ducktaili pahavara tüve uue PHP-versiooni kaudu.
Ducktaili pahavara uus PHP-versioon seab Facebooki kasutajad ohtu
Facebook Businessi kontoomanikud puutuvad nüüd kokku uue ohuga, mis tuleb Ducktaili pahavaraprogrammi PHP-variandi kujul.
Pilveturbeettevõte ZScaler teatas sellest uuest leiust a ZScaleri ajaveebi postitus 13. oktoobril. Uut PHP versiooni levitatakse seadmete vahel 'teeskledes, et see on vaba/krakitud rakenduste installija'. See sihib ka erinevaid nakkusplatvorme, sealhulgas Telegrami ja Microsoft Office'i rakendusi.
PÄEVA VIDEO MAKKEUSE
Selles Ducktaili uues versioonis on operaator muutnud pahavara täitmismeetodit, teisendades varem kasutatud .Neti binaarfaili asemel PHP-skripti. Pärast rakenduse installimist teatatakse ohvrile, et see 'kontrollib rakenduse ühilduvust', kui tegelikult luuakse kaks .tmp-faili.
Teine neist kahest failist suudab pahatahtliku koodi maha jätta. Pärast seda 'käivitab fail kaks protsessi', et saavutada nii püsivus kui ka andmete varastamine.
lahedaid asju vana arvutiga
Ducktaili pahavara on olnud saadaval alates 2021. aastast
Ducktaili pahavara algne versioon avastati esmakordselt 2021. aasta lõpus ja see oli ühendatud Vietnami operaatoriga, kes kasutades seda Facebook Businessi ja Ads Manageri kontode häkkimiseks .
Eespool mainitud ajaveebipostituses arutas ZScaler algset Ducktaili tüve, mis võib 'lehtedega manipuleerida ja finantsteabele juurde pääseda'. Rünnakud tunnistati väga sihipärasteks ja neil oli isegi võimalus Facebooki turvameetmetest mööda minna. Nende rünnakute sihtmärgiks olid ettevõttes kõrge staatusega kasutajad, kuna neile anti täiustatud load.
Amazoni pakend ütleb, et tarnitud, kuid pole kunagi tulnud
Ducktail võib ka proovida juurdepääsu kahefaktoriline autentimine koodid, et vältida seda täiendavat kontokaitsekihti. Ducktaili infovarastaja sihib mitmesuguseid andmeid, sealhulgas makseteavet, e-posti aadresse ja klienditeavet.
Kasutajateave on PHP Infostealeriga endiselt ohus
Ducktaili infostealeri PHP-variant otsib samuti tundlikke andmeid, mida saab rahalise kasu saamiseks ära kasutada. Ohus võivad olla isegi isikud, kellel on kaitsvad sisselogimismeetmed.
Näib, et selle uue PHP Ducktaili pahavara fookuses on ka makseteave, samuti e-posti aadressid, maksekirjed, rahastamisallikad ja konto olekud.
Mõlemad Ducktaili versioonid on väga ohtlikud
Algsel Ducktaili pahavaral ja selle PHP variandil on palju sarnasusi ning need kujutavad olulist ohtu Facebooki ärikontodele ja nendes sisalduvatele tundlikele andmetele. Ducktaili looja võib jätkata oma algse koodi järgmiste versioonide loomist, et rünnete sooritamist veelgi parandada. Kas see ka nii läheb, näitab aeg.