Ducktaili pahavara uue PHP-versiooni kaudu häkitud Facebooki ärikontod

Ducktaili pahavara uue PHP-versiooni kaudu häkitud Facebooki ärikontod

Facebook Businessi kontosid rünnatakse nüüd Ducktaili pahavara tüve uue PHP-versiooni kaudu.





Ducktaili pahavara uus PHP-versioon seab Facebooki kasutajad ohtu

Facebook Businessi kontoomanikud puutuvad nüüd kokku uue ohuga, mis tuleb Ducktaili pahavaraprogrammi PHP-variandi kujul.



Pilveturbeettevõte ZScaler teatas sellest uuest leiust a ZScaleri ajaveebi postitus 13. oktoobril. Uut PHP versiooni levitatakse seadmete vahel 'teeskledes, et see on vaba/krakitud rakenduste installija'. See sihib ka erinevaid nakkusplatvorme, sealhulgas Telegrami ja Microsoft Office'i rakendusi.





PÄEVA VIDEO MAKKEUSE

Selles Ducktaili uues versioonis on operaator muutnud pahavara täitmismeetodit, teisendades varem kasutatud .Neti binaarfaili asemel PHP-skripti. Pärast rakenduse installimist teatatakse ohvrile, et see 'kontrollib rakenduse ühilduvust', kui tegelikult luuakse kaks .tmp-faili.

Teine neist kahest failist suudab pahatahtliku koodi maha jätta. Pärast seda 'käivitab fail kaks protsessi', et saavutada nii püsivus kui ka andmete varastamine.



lahedaid asju vana arvutiga

Ducktaili pahavara on olnud saadaval alates 2021. aastast

kolju kujuline arvutikood

Ducktaili pahavara algne versioon avastati esmakordselt 2021. aasta lõpus ja see oli ühendatud Vietnami operaatoriga, kes kasutades seda Facebook Businessi ja Ads Manageri kontode häkkimiseks .

Eespool mainitud ajaveebipostituses arutas ZScaler algset Ducktaili tüve, mis võib 'lehtedega manipuleerida ja finantsteabele juurde pääseda'. Rünnakud tunnistati väga sihipärasteks ja neil oli isegi võimalus Facebooki turvameetmetest mööda minna. Nende rünnakute sihtmärgiks olid ettevõttes kõrge staatusega kasutajad, kuna neile anti täiustatud load.



Amazoni pakend ütleb, et tarnitud, kuid pole kunagi tulnud

Ducktail võib ka proovida juurdepääsu kahefaktoriline autentimine koodid, et vältida seda täiendavat kontokaitsekihti. Ducktaili infovarastaja sihib mitmesuguseid andmeid, sealhulgas makseteavet, e-posti aadresse ja klienditeavet.

Kasutajateave on PHP Infostealeriga endiselt ohus

Ducktaili infostealeri PHP-variant otsib samuti tundlikke andmeid, mida saab rahalise kasu saamiseks ära kasutada. Ohus võivad olla isegi isikud, kellel on kaitsvad sisselogimismeetmed.



Näib, et selle uue PHP Ducktaili pahavara fookuses on ka makseteave, samuti e-posti aadressid, maksekirjed, rahastamisallikad ja konto olekud.

Mõlemad Ducktaili versioonid on väga ohtlikud

Algsel Ducktaili pahavaral ja selle PHP variandil on palju sarnasusi ning need kujutavad olulist ohtu Facebooki ärikontodele ja nendes sisalduvatele tundlikele andmetele. Ducktaili looja võib jätkata oma algse koodi järgmiste versioonide loomist, et rünnete sooritamist veelgi parandada. Kas see ka nii läheb, näitab aeg.