Este nuevo malware de robo de información está atacando cuentas de Facebook
Una nueva campaña de phishing de Ducktail está difundiendo un malware de robo de información de Windows nunca antes visto escrito en PHP. El malware se está utilizando para robar cuentas de Facebook, datos del navegador y billeteras de criptomonedas.
Las campañas de phishing de Ducktail fueron reveladas por primera vez por investigadores de WithSecure en julio de 2022. Los investigadores vincularon los ataques con hackers vietnamitas.
Esas campañas se basaron en ataques de ingeniería social a través de LinkedIn, impulsando el malware .NET Core disfrazado de documento PDF que supuestamente contenía detalles sobre un proyecto de marketing.
El malware apuntó a la información almacenada en los navegadores, centrándose en los datos de la cuenta de Facebook Business. Posteriormente , los exfiltró a un canal privado de Telegram que actuó como un servidor de comando y control. Estas credenciales robadas luego se utilizan para fraude financiero o para realizar publicidad maliciosa.
Zscaler reportó recientemente haber detectado signos de nueva actividad que involucra una campaña actualizada de Ducktail. Esta campaña usa un script PHP para actuar como un malware que roba información de Windows.
Malware de robo de información escrito en PHP
Ducktail ahora ha reemplazado el antiguo malware de robo de información NET Core utilizado en campañas anteriores con uno escrito en PHP.
La mayoría de los señuelos falsos para esta campaña están relacionados con juegos, archivos de subtítulos, videos para adultos y aplicaciones de Microsoft Office crackeadas. Estos están alojados en formato ZIP en servicios legítimos de alojamiento de archivos.
Cuando se ejecuta, la instalación se lleva a cabo en segundo plano mientras la víctima ve ventanas emergentes falsas de “Comprobación de compatibilidad de aplicaciones” en la interfaz, esperando que se instale una aplicación falsa enviada por los estafadores.
El malware finalmente se extrae a la carpeta %LocalAppData%\Packages\PXT
, que incluye el intérprete local PHP.exe y varias secuencias de comandos utilizadas para robar información. Además, incluye herramientas de soporte, como mostramos a continuación.
El malware PHP logra la persistencia agregando tareas programadas en el host para ejecutarlas diariamente y a intervalos regulares. Al mismo tiempo, un archivo TMP generado ejecuta un proceso paralelo para iniciar el componente de robo.
El código del ladrón es un script PHP ofuscado (Base64), que se descifra directamente en la memoria sin tocar el disco, lo que minimiza las posibilidades de ser detectado.
Los datos objetivos incluyen detalles extensos de la cuenta de Facebook, datos confidenciales almacenados en los navegadores, cookies del navegador, billetera de criptomonedas e información de la cuenta, y datos básicos del sistema.
La información recopilada ya no se exfiltra a Telegram, sino que se almacena en un sitio web JSON que también aloja los tokens de cuenta y los datos necesarios para realizar fraudes en el dispositivo.
“Al igual que las versiones anteriores (.NetCore), la última versión (PHP) también tiene como objetivo extraer información confidencial relacionada con las credenciales guardadas del navegador, la información de la cuenta de Facebook, etc.”.
Investigadores de Zscaler
Resumen de las funcionalidades del Malware
- Obtiene información del navegador instalado en el sistema.
- Extrae la información almacenada de las cookies del navegador del sistema.
- Se dirige a las cuentas empresariales de Facebook.
- Busca información de las cuentas de billeteras de criptomonedas en el archivo wallet.dat.
- Recopila y envía los datos al servidor de comando y control
La siguientes tabla muestra las funciones que puede realizar el malware de robo de información:
Comando | Descripción |
upload | Información confidencial de la víctima cargada en el servidor |
getTask | Crea el patrón de datos robados que se enviarán durante la solicitud POST |
getMac | Obtiene los detalles del ID de la máquina del sistema de la víctima |
readDirs | Obtiene los detalles de los diferentes directorios de los que se robarán los datos |
deleteAllFolder | Elimina todos los archivos y carpetas donde el malware copió la información robada |
Xcopy with 0755 | Copia archivos y directorios, incluidos los subdirectorios con permiso 0775, lo que significa acceso de lectura y ejecución para todos y también acceso de escritura para el propietario del archivo. |
BVZipArchive | Comprime todos los archivos y carpetas robados |
Browser | Extrae la información de los navegadores instalados en la máquina víctima |
parseCookie | Extrae detalles de las cookies del navegador del sistema |
parseChromium | Extrae detalles del navegador Chrome |
parseMoz | Extrae detalles del navegador Mozilla |
Ampliación del alcance de la segmentación
En la campaña anterior, Ducktail se dirigió a empleados de organizaciones que trabajan en el departamento financiero o de marketing de empresas. Estos probablemente tendrían permiso para crear y ejecutar campañas publicitarias en la plataforma de redes sociales.
El objetivo era tomar el control de esas cuentas y dirigir los pagos a sus cuentas bancarias o ejecutar sus propias campañas de Facebook para promocionar Ducktail entre más víctimas.
Sin embargo, en la última campaña, Zscaler notó que el alcance de la orientación se ha ampliado para incluir a los usuarios habituales de Facebook y desviar cualquier información valiosa que puedan tener almacenada en sus cuentas.
Aún así, si se determina que el tipo de cuenta es una cuenta comercial, el malware intenta obtener información adicional sobre métodos de pago, ciclos, montos gastados, detalles del propietario, estado de verificación, páginas propias, dirección de PayPal y más.
Parece que los ciberdelincuentes detrás de la campaña del ladrón Ducktail están continuamente haciendo cambios o mejoras en los mecanismos de entrega y el enfoque para robar una amplia variedad de información confidencial de usuarios y sistemas dirigida a los usuarios en general.
Recomendamos a los usuarios que estén atentos a los mensajes instantáneos en LinkedIn y traten las solicitudes de descarga de archivos con especial precaución, especialmente el software pirateado, las modificaciones de juegos y los trucos.