Ein in PHP geschriebenes Phishing-Skript nimmt Konten von Facebook-Nutzern ins Visier. Bei der Schadsoftware handelt es sich um eine Variante der Ducktail-Malware. Neben Facebook-Accounts kann das Skript im Browser gespeicherte Daten und Krypto-Wallets abgreifen.
Die Schadsoftware Ducktail wurde bereits vor einigen Monaten entdeckt und hat es vor allem auf Personen und Firmen, die geschäftliche Facebook-Konten verwenden, abgesehen. Das Programm wurde über ein Jahr lang entwickelt und über E-Mails verbreitet. Die Angreifer nutzen Social-Engineering-Techniken und suchen sich Zielpersonen über das Karrierenetzwerk LinkedIn aus. Die Anwendung wird in Form eines Archivs mit Bildern, Videos und Dokumenten ausgeliefert. Sobald die Datei heruntergeladen und geöffnet wurde, werden Browser-Cookies ausgelesen und an den Server der Hacker gesendet.
Nun wurde eine neue Version der Malware entdeckt, die schwieriger von Antiviren-Apps erkannt wird. Laut Zscaler wird eine Fake-Anwendung, die einen PHP-Interpreter und verschiedene Skriptdateien enthält, installiert. Um sicherzustellen, dass die Komponenten tatsächlich ausgeführt werden, legt die Malware Aufgaben im Taskplaner an. Bei dem eigentlichen Code, der zum Stehlen von Facebook-Konten verwendet wird, handelt es sich um ein Base64-kodiertes PHP-Skript. Der Inhalt wird direkt im Arbeitsspeicher dekodiert, sodass der Code nicht auf der Festplatte zwischengespeichert und damit nicht unbedingt erkannt wird.
Quelle; winfuture
Die Schadsoftware Ducktail wurde bereits vor einigen Monaten entdeckt und hat es vor allem auf Personen und Firmen, die geschäftliche Facebook-Konten verwenden, abgesehen. Das Programm wurde über ein Jahr lang entwickelt und über E-Mails verbreitet. Die Angreifer nutzen Social-Engineering-Techniken und suchen sich Zielpersonen über das Karrierenetzwerk LinkedIn aus. Die Anwendung wird in Form eines Archivs mit Bildern, Videos und Dokumenten ausgeliefert. Sobald die Datei heruntergeladen und geöffnet wurde, werden Browser-Cookies ausgelesen und an den Server der Hacker gesendet.
Nun wurde eine neue Version der Malware entdeckt, die schwieriger von Antiviren-Apps erkannt wird. Laut Zscaler wird eine Fake-Anwendung, die einen PHP-Interpreter und verschiedene Skriptdateien enthält, installiert. Um sicherzustellen, dass die Komponenten tatsächlich ausgeführt werden, legt die Malware Aufgaben im Taskplaner an. Bei dem eigentlichen Code, der zum Stehlen von Facebook-Konten verwendet wird, handelt es sich um ein Base64-kodiertes PHP-Skript. Der Inhalt wird direkt im Arbeitsspeicher dekodiert, sodass der Code nicht auf der Festplatte zwischengespeichert und damit nicht unbedingt erkannt wird.
Entwickler nehmen auch private Konten ins Visier
Neben Business-Konten soll Ducktail auch Accounts von privaten Nutzern ins Visier nehmen. Sollten geschäftliche Konten abgegriffen worden sein, wird versucht, auf Informationen zu Zahlungsmethoden zuzugreifen. Aufgrund der Weiterentwicklung von Ducktail ist davon auszugehen, dass die Hacker hinter der Malware weiter an dem Programm arbeiten, um neue Varianten zu veröffentlichen. Wie üblich empfiehlt es sich, bei Nachrichten von unbekannten Absendern vorsichtig zu sein und die Dateien vor dem Download genau zu überprüfen, um eine Installation von Schadsoftware zu verhindern.Quelle; winfuture
