New PHP Version of Ducktail Malware Hijacking Facebook Business Accounts
2022/10/14 TheHackerNews — Zscaler の最新の調査結果によると、Ducktail と呼ばれる情報窃取マルウェアの PHP バージョンが、クラックされた正規のアプリやゲーム用のインストーラーの形で、野放し状態で配布されていることが発覚した。Zscaler ThreatLabz の研究者である Tarun Dewan と Stuti Chaturvedi は、「旧バージョン (.NetCore) と同様に、最新バージョン (PHP) も、保存したブラウザ認証情報/Facebook アカウント情報などの、機密情報の流出を目的としている」と述べている。
2021年後半に登場した Ducktail は、ベトナムの無名脅威アクターが作成したマルウェアとされ、主に Facebook のビジネス・アカウントと広告アカウントを、乗っ取るように設計されている。
この金銭的動機に基づくサイバー犯罪のアクティビティは、フィンランドのサイバー・セキュリティ WithSecure (旧F-Secure) が、2022年7月末に初めて記録したものである。
このマルウェアの旧バージョンでは、Telegram を Command and Control (C2) チャネルとして使用し、情報を流出させることが確認されていた。しかし、2022年8月に発見された PHP 亜種は、新たにホストされた Web サイトへの接続を確立して、データを JSON フォーマットで保存するようになっている。
Zscaler が観測した攻撃チェーンでは、mediafire[]com などのファイル共有サービスでホストされている、ZIP アーカイブ・ファイルにマルウェアを埋め込み、Microsoft Office のクラック版/ゲーム/ポルノ関連ファイルなどを装う。
このインストーラーを実行すると、PHP スクリプトが起動し、最終的に Web ブラウザ/暗号通貨ウォレット/Facebook Business などのアカウントから、データを盗み出すためのコードが実行される。
研究者たちは、「Ducktail スティーラー・キャンペーンの背後にいる脅威アクターは、広範なユーザーを対象とした多種多様な機密データ/システム情報を盗む。そのために、配信メカニズムおよびアプローチに対して、継続的に変更/強化を行っているようだ」と述べている。
7月25日に「Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心」という記事をポストしましたが、そこで指摘されている脅威アクターが Ducktail です。アカウント窃取までの詳細が記載されていますが、PHP は出てこないので、Ducktail がアップデートされたのだと推測できます。なお、関連する記事としては、9月14日の「Facebook Page オーナーを狙うフィッシング・メール:その特徴を確認しておこう」もありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.