新Php版本的鸭尾式恶意软件劫持Facebook业务帐户

根据Zscaler的最新发现，一个名为鸭尾式的信息窃取恶意软件的PHP版本已经在野外被发现，并以破解安装程序的形式分布在合法的应用程序和游戏中。

像旧版本(。Zscaler ThreatLabz研究员Tarun Dewan和Stuti查图维迪表示，最新版本( PHP ) NetCore也旨在对保存的浏览器凭据、Facebook账号信息等相关敏感信息进行过滤。

鸭尾式于2021年下半年出现在威胁场景中，被认为是一个未透露姓名的越南威胁行为者，恶意软件主要是为了劫持Facebook业务和广告账户。

金融动机的网络犯罪活动最早由芬兰网络安全公司With Secure (以前称为F – Secure)于2022年7月下旬记录。

虽然以前版本的恶意软件被发现使用Telegram作为命令和控制( C2 )通道来传输信息，但在2022年8月发现的PHP变体建立了连接到新托管网站的连接，以存储JSON格式的数据。

  Zscaler观察到的攻击链包括将恶意软件嵌入托管在Mediafire [ . ] com等文件共享服务上的ZIP存档文件中，伪装成Microsoft Office、游戏和色情相关文件的破解版本。

安装程序的执行反过来激活一个PHP脚本，该脚本最终启动负责从Web浏览器、加密货币钱包和Facebook Business帐户中窃取和泄漏数据的代码。

研究人员说，”鸭尾酒盗窃者”行动背后的威胁行为者似乎在不断改变或加强交付机制和方法，以窃取广泛的敏感用户和系统信息。