Se utiliza una versión PHP del malware Ducktail infostealer para comprometer las cuentas de Facebook Business.
Las cuentas de Facebook Business ahora están siendo atacadas a través de una nueva versión de PHP de la cepa de malware Ducktail.
La nueva versión PHP del malware Ducktail pone en riesgo a los usuarios de Facebook
Los titulares de cuentas de Facebook Business ahora están expuestos a una nueva amenaza, que se presenta en forma de una variante PHP del malware Ducktail.
ZScaler, una empresa de seguridad en la nube, informó este nuevo descubrimiento en una publicación de blog de ZScaler el 13 de octubre. La nueva versión de PHP se distribuye entre los dispositivos «haciéndose pasar por un instalador de aplicaciones freeware/crackeado». También se dirige a varias plataformas de infección, incluidas las aplicaciones Telegram y Microsoft Office.
En esta nueva versión de Ducktail, el operador ha cambiado el método de ejecución del malware al convertir un script PHP en lugar del binario .Net utilizado anteriormente. Una vez instalada la aplicación, se le informará a la víctima que está «comprobando la compatibilidad de la aplicación», cuando en realidad se generan dos archivos .tmp.
El segundo de estos dos archivos es capaz de depositar código malicioso. Después de eso, el archivo «ejecuta dos procesos» para lograr persistencia y robar datos.
El malware Ducktail existe desde 2021
La versión original del malware Ducktail se descubrió por primera vez a fines de 2021 y se conectó con un operador vietnamita que lo usó para piratear las cuentas de Facebook Business y Ads Manager.
En la publicación de blog antes mencionada, ZScaler habló sobre la cepa Ducktail original, que podría «manipular páginas y acceder a información financiera». Los ataques fueron reconocidos como altamente dirigidos e incluso tenían la capacidad de eludir las defensas de seguridad de Facebook. Los usuarios con un alto estatus en una empresa fueron el objetivo de estos ataques porque se les otorgaron permisos avanzados.
Ducktail también puede intentar acceder a los códigos de autenticación de dos factores para evadir esta capa adicional de protección de la cuenta. El ladrón de información de Ducktail tiene como objetivo diferentes tipos de datos, incluidos los detalles de pago, las direcciones de correo electrónico y la información del cliente.
La información del usuario siempre está en riesgo con PHP Infostealer
La variante PHP del ladrón de información Ducktail también busca datos confidenciales que pueden explotarse para obtener ganancias financieras. Incluso las personas con medidas de protección de inicio de sesión pueden estar en riesgo.
Parece que la información de pago también está en el centro de este nuevo malware PHP Ducktail, junto con direcciones de correo electrónico, registros de pago, fuentes de financiación y estados de cuenta.
Ambas versiones de Ducktail son muy peligrosas.
El malware Ducktail original y su variante PHP comparten muchas similitudes y representan una amenaza significativa para las cuentas de Facebook Business y los datos confidenciales que alojan. El creador de Ducktail puede continuar creando versiones posteriores de su código original para mejorar aún más la ejecución de sus ataques. El tiempo dirá si ese resulta ser el caso.
