I ricercatori di Cyble hanno scoperto un nuovo malware, denominato DuckLogs, che offre numerose funzionalità in abbonamento. Gli sviluppatori utilizzano il modello di business noto come malware-as-a-service. Attraverso una pannello di controllo è possibile personalizzare i moduli, monitorare gli attacchi e scaricare i dati rubati. Fortunatamente viene rilevato e bloccato dalla maggioranza delle soluzioni di sicurezza sul mercato.
DuckLogs: stealer, RAT e molto altro
DuckLogs viene offerto nel dark web in tre piani di abbonamento a prezzi compresi tra 19,99 dollari/mese e 69,99 dollari/mese. Oltre alle opzioni di personalizzazione (il malware è composto da vari moduli), il pannello con interfaccia web mostra le statistiche principali, tra cui la classifica degli abbonati con più vittime.
Il malware viene principalmente distribuito tramite email (spam o phishing). La catena di infezione prevede l’uso della steganografia per nascondere il codice infetto in un’immagine bitmap compressa. Al termine viene caricato in memoria l’eseguibile di DuckLogs. All’avvio viene creata una copia nella directory Esecuzione automatica per la persistenza, aggirato il controllo account utente e guadagnato i privilegi di amministratore. Con un comando PowerShell viene inoltre disattivato Microsoft Defender.
Le due funzionalità principali sono quelli di stealer e RAT (Remote Access Trojan). DuckLogs ruba password, cookie e altri dati dai browser installati, email dai client di posta elettronica, messaggi dalle app di messaggistica, credenziali da VPN, giochi e FTP, indirizzi dei wallet delle criptovalute e file di ogni tipo.
Il malware può inoltre inviare e ricevere file, aprire URL nel browser, accendere/spegnere il computer, inviare messaggi, disattivare mouse e tastiera, mostrare il BSOD (Blue Screen Of Death). Altri moduli di DuckLogs permettono di disattivare alcune funzionalità di Windows (Task Manager, editor del registro e altre), sostituire l’indirizzo dei wallet con quello dei cybercriminali (clipper) e registrare i tasti premuti (keylogger).
Tutti i dati vengono quindi inviati ai server C&C (command and control). Gli utenti devono utilizzare una soluzione di sicurezza che rileva email con link o allegati sospetti e blocca l’accesso a siti pericolosi. È anche necessario pestare molta attenzione agli indirizzi usati per le transazioni in criptovalute.