تقی حسن زاده، پایگاه خبری دانا، سرویس دانش و فناوری؛ تیم تحقیقاتی Zscaler ThreatLabz نسخه PHP «Ducktail» Infostealer را مشاهده کرد که در قالب نصب کننده برنامه های کرک شده برای برنامه های مختلف از جمله بازی ها، برنامه های مایکروسافت آفیس، تلگرام و موارد دیگر توزیع شده است.
قابل ذکر است که Ducktail از سال 2021 فعال بوده است. کارشناسان می گویند که ممکن است توسط گروه هکری ویتنامی اداره شود. هدف اصلی این کمپین حمله، تسخیر حساب های تجاری فیس بوک است.
زنجیره حمله
نسخه های قبلی مشاهده شده توسط( WithSecure Labs) بر اساس یک باینری نوشته شده با استفاده از NetCore با تلگرام به عنوان کانال C2 آن برای استخراج داده ها بود. در این مورد، نصب کننده مخرب در یک وب سایت میزبان فایل، میزبانی می شود. در مقایسه با کمپین های قبلی، محققان می گویند تغییراتی در اجرای کدهای مخرب ایجاد شده است. همچنین، عوامل تهدید به نسخه اسکریپت نویسی تغییر کرده اند که به موجب آن کد دزد اصلی یک اسکریپت PHP است و نه باینری .Net.
جریان حمله
پس از اجرا، نصبکننده جعلی یک رابط کاربری گرافیکی «بررسی سازگاری برنامهها» را در قسمت جلویی ظاهر میکند. محققین در Zscaler، در backend، یک فایل .tmp تولید می کند که نصب کننده را با پارامتر "/Silent" دوباره راه اندازی می کند و پس از آن یک فایل .tmp دیگر تولید می شود. اسکریپت PHP از کدی برای رمزگشایی یک فایل متنی کدگذاری شده base64 تشکیل شده است. اجرای نسخه رمزگشایی شده فایل متنی منجر به اجرای باینری زمانبندی کار سفارشی به عنوان نتیجه نهایی می شود.
برنامه ریزی شغلی
محققان می گویند کد دزد در زمان اجرا در حافظه رمزگشایی می شود و سپس عملیات سرقت و استخراج داده ها را انجام می دهد.
عملکرد بدافزار
• اطلاعات مرورگر نصب شده در سیستم را واکشی میکند.
• اطلاعات ذخیره شده کوکی های مرورگر را از سیستم خارج می کند.
• حساب های تجاری فیس بوک را هدف قرار می دهد.
• به دنبال اطلاعات حساب رمزنگاری در فایل wallet.dat می گردد.
• داده ها را جمع آوری و به سرور فرمان و کنترل (C&C) می فرستد.
علاوه بر این، اسکریپت مخرب اطلاعات مربوط به مرورگرهای نصب شده در سیستم را جمع آوری می کند و داده های ضروری مانند machineID، نسخه مرورگر و نام فایل را از آن استخراج میکند و این داده ها را کپی می کند.
هدف قرار دادن صفحات فیس بوک برای سرقت اطلاعات
در این مورد، بدافزار صفحات مختلف فیس بوک را برای سرقت اطلاعات بررسی می کند. این صفحات به نمودار API فیس بوک، مدیر تبلیغات فیس بوک و حساب های تجاری فیس بوک تعلق دارند. با جستجوی پیوندهای مدیر تبلیغات تجاری فیس بوک، کد مخرب به جزئیات حساب ها و چرخه های پرداخت دسترسی پیدا می کند. این بدافزار تلاش می کند تا لیست جزئیات را از صفحات تجاری فیس بوک به دست آورد:
پرداخت آغاز شد
مستلزم پرداخت
وضعیت تأیید
حساب های تبلیغاتی مالک
مقدار هزینه شده
جزئیات ارز
وضعیت حساب
چرخه پرداخت تبلیغات
منبع تامین مالی
روش پرداخت [کارت اعتباری، کارت نقدی و غیره]
روش پرداخت پی پال [آدرس ایمیل]
صفحات متعلق به.
متعاقباً، اسکریپت PHP سعی می کند به سرور C&C متصل شود تا لیستی از محتویات ذخیره شده در فرمت JSON را دریافت کند، که در ادامه برای جمع آوری اطلاعات استفاده می شود.
محققان گفتند: "کمپین دزد دم اردک به طور مداوم تغییرات یا بهبودی در مکانیسم های تحویل ایجاد می کند تا طیف گسترده ای از اطلاعات حساس کاربر و سیستم را که کاربران را هدف قرار می دهد به سرقت ببرد."
