Las cuentas de Facebook Business ahora están bajo ataque a través de una nueva versión de PHP de la cepa de malware Ducktail.
La nueva versión PHP del malware Ducktail pone en riesgo a los usuarios de Facebook
Los titulares de cuentas de Facebook Business ahora están expuestos a una nueva amenaza, que se presenta en forma de una variante PHP del programa de malware Ducktail.
ZScaler, una empresa de seguridad en la nube, informó este nuevo hallazgo en una publicación de blog de ZScaler el 13 de octubre. La nueva versión de PHP se está difundiendo entre los dispositivos "pretendiendo ser un instalador de aplicaciones gratuito/crackeado". También se dirige a varias plataformas para la infección, incluidas las aplicaciones de Telegram y Microsoft Office.
En esta nueva versión de Ducktail, el operador ha alterado el método de ejecución del malware, convirtiendo un script PHP en lugar del binario .Net utilizado anteriormente. Después de instalar la aplicación, se le indicará a la víctima que está "comprobando la compatibilidad de la aplicación", cuando, en realidad, se están generando dos archivos .tmp.
El segundo de estos dos archivos es capaz de eliminar el código malicioso. Después de esto, el archivo "ejecuta dos procesos" para lograr tanto la persistencia como el robo de datos.
Ducktail Malware ha existido desde 2021
La versión original del malware Ducktail se descubrió por primera vez a fines de 2021 y se conectó con un operador vietnamita que lo estaba usando para piratear cuentas de Facebook Business and Ads Manager.
En la publicación de blog antes mencionada, ZScaler habló sobre la cepa Ducktail original, que podría "manipular páginas y acceder a información financiera". Los ataques fueron reconocidos como altamente dirigidos e incluso tenían la capacidad de eludir las defensas de seguridad de Facebook. Los usuarios con un alto estatus en una empresa fueron el objetivo de estos ataques, ya que se les otorgaron permisos avanzados.
Ducktail también puede intentar acceder a los códigos de autenticación de dos factores para evadir esta capa adicional de protección de la cuenta. El ladrón de información Ducktail apunta a varios tipos de datos, incluidos los detalles de pago, las direcciones de correo electrónico y la información del cliente.
La información del usuario todavía está en riesgo con PHP Infostealer
La variante PHP del ladrón de información Ducktail también busca datos confidenciales que pueden explotarse para obtener ganancias financieras. Incluso las personas con medidas de protección de inicio de sesión pueden estar en riesgo.
Parece que la información de pago también es el foco de este nuevo malware PHP Ducktail, así como las direcciones de correo electrónico, los registros de pago, las fuentes de financiación y los estados de cuenta.
Ambas versiones de Ducktail son altamente peligrosas
El malware Ducktail original y su variante PHP comparten muchas similitudes y representan una amenaza significativa para las cuentas de Facebook Business y los datos confidenciales que albergan. El creador de Ducktail puede continuar creando versiones posteriores de su código original para mejorar aún más la ejecución de sus ataques. El tiempo dirá si este resulta ser el caso.
Noticias relacionadas: