Facebookos jelszólopás PHP-val

Egy PHP-alapú kártékony program kezdett terjedni, amely elsősorban bejelentkezési adatokat lop. Különösen kedveli a Facebookhoz tartozó felhasználóneveket és jelszavakat.
 

A Ducktail nevű adathalász támadássorozatról a WithSecure júliusban adott hírt. Akkor arra derült fény, hogy - feltehetően vietnámi - kiberbűnözők elsősorban LinkedIn-nel visszaélő csalássorozatot indítottak, amelyben egy .NET Core alapú, PDF-fájlnak álcázott kártékony programot igyekeznek feljuttatni a potenciális áldozataik számítógépeire. Ezt követően pedig a károkozó felhasználásával Facebook Business fiókokhoz tartozó bejelentkezési adatokat, illetve egyéb (webböngészőkben eltárolt) hitelesítő információkat igyekeznek bezsebelni. A böngészőkből kiexportált adatokat pedig Telegramon keresztül zsebelik be. A megkaparintott információkat felhasználhatják pénzügyi csalásokhoz, illetve kártékony reklámkampányok indításához is.
 
A fejlődés töretlen
 
A Ducktail banda nem ült a babérjain, és az elmúlt napokban egy új kártékony programot vetett be. A támadások célja továbbra sem változott, azaz most is adatlopás motiválja az elkövetőket. A módszer és az alkalmazott károkozó azonban jelentősen változott.
 
A legutóbbi Ducktail támadássorozatban szerephez jutó károkozó már nem a .NET Core lehetőségeit fordítja a saját javára, hanem PHP-val mesterkedik. A kiszemelt számítógépek „%LocalAppData%\Packages\PXT” mappájába bemásolja a PHP-kódok futtatásához szükséges PHP.exe állományt, valamint a PHP-forráskódokat. Ezt követően az ütemezett feladatok közé új bejegyzést vesz fel, amivel biztosítja a perzisztens jelenlétét.
 
A megújult Ducktail annyiban is változott, hogy most már nem annyira finnyás, mint az elődje, hiszen a Facebook Business fiókok mellett a hagyományos Facebook profilokat sem veti meg. Ezekhez is igyekszik hozzáférési adatokat összegyűjteni, amiket aztán JSON-formátumú fájlokba ment le, majd szivárogtat ki. (Az elkövetők szakítottak a Telegram alapú adatküldéssel is.)
 
A Ducktail-csalók a kártékony kódjaikat játékoknak, felnőtteknek szóló videóknak, filmekhez tartozó feliratokat tartalmazó állományoknak és Office dokumentumoknak is előszeretettel álcázzák. Ezért a letöltésekkel való óvatos bánásmód ez esetben is sokat segít a kockázatok csökkentésében.