Una vecchia conoscenza è tornata sulla scena in una nuova veste. Gli esperti di Zscaler hanno scoperto una nuova variante dell’info-stealer Ducktail che prende di mira gli account Facebook Business per accedere alle informazioni finanziarie. Stavolta il codice è scritto in PHP, ma il metodo usato per la distribuzione del malware è rimasto invariato.
Ducktail: nuova versione con identici obiettivi
Come detto, il metodo usato per distribuire il malware è lo stesso della prima variante. Le vittime vengono invitate a scaricare una presunta versione gratuita o “craccata” delle applicazioni Office o di giochi dai servizi di file hosting (MediaFire in questo caso). I file eseguibili sono conservati in formato ZIP. Mentre la vittima vede sullo schermo il messaggio “Verifica compatibilità dell’applicazione“, tutti i file necessari (incluso l’interprete PHP) vengono copiati su disco.
La catena di infezione prevede quindi l’esecuzione di due processi per altrettanti scopi. Il primo aggiunge attività pianificate per la persistenza, ovvero l’avvio del malware ad intervalli regolari. Il secondo si occupa del furto delle informazioni, tra cui i cookie dei browser e i dettagli degli account Facebook Business e Facebook Ads Manager. Questi dati possono essere utilizzati per frodi finanziarie o campagne di malvertising.
L’invio al server remoto non viene più effettuato tramite un bot di Telegram, ma in formato JSON. I nuovi attacchi possono essere indirizzati anche contro utenti privati, non solo dipendenti aziendali che gestiscono le campagne pubblicitarie su Facebook. È quindi assolutamente indispensabile una soluzione di sicurezza che rileva e blocca questo tipo di minaccia.