close

新發現 PHP 資訊竊取惡意軟體,針對 Facebook 帳號發動釣魚攻擊

資安廠商 WithSecure 旗下的資安專家,近日發現一波名為「Ducktail」的釣魚攻擊活動,利用全新出現、以 PHP 撰寫的 Windows 資料竊取惡意軟體,用來竊取受害者的 Facebook 帳號、瀏覽器資料、加密貨幣錢包等機密資訊。

WithSecure 指出,該公司於 2022 年 7 月起觀察到 Ducktail 的攻擊活動;該攻擊主要是在 LinkedIn 求職求才社群平台上,透過社交工程將含有 .NET Core 惡意程式碼的行銷計畫 PDF 檔傳遞給受害者。

一旦受害者開啟該 PDF 並執行惡意程式碼後,存於電腦的瀏覽器資訊就會被傳送到一個 Telegram 私密頻道,駭侵者利用這個私密頻道作為其控制伺服器;駭侵者主要鎖定其中的 Facebook Business 帳號資料,取得資料後即用於進行進一步的金融詐騙或惡意廣告。

另一家資安廠商 ZScaler 則指出,他們觀察到 Ducktail 近期也開始利用 PHP 程式碼的惡意軟體,偽裝為遊戲相關檔案、字幕檔、成人影片等,誘使用戶下載;用戶執行該惡意程式碼後,其電腦的 Microsoft Office 應用程式就會遭到攻擊。用戶會看到假的「檢查應用程式相容性」彈跳視窗,實則正在安裝駭侵者推送的各種惡意軟體。

該惡意軟體執行後,會每日一次在背景中竊取用戶的各種 Facebook 帳號詳細資訊、瀏覽器 Cookie 及其他資料、加密貨幣錢包與帳號資訊,以及各種系統資訊。

鑑於各種釣魚攻擊日益頻繁,建議用戶如在社群平台接獲他人傳送的檔案,務必確認該名傳送者的真實身分,切勿開啟身分不明人士傳送的任何檔案或連結。

  • 參考連結

LinkedIn phishing target employees managing Facebook Ad Accounts

https://www.bleepingcomputer.com/news/security/linkedin-phishing-target-employees-managing-facebook-ad-accounts/

New PHP Variant of Ducktail Infostealer Targeting Facebook Business Accounts

https://www.zscaler.com/blogs/security-research/new-php-variant-ducktail-infostealer-targeting-facebook-business-accounts

New PHP information-stealing malware targets Facebook accounts

https://www.bleepingcomputer.com/news/security/new-php-information-stealing-malware-targets-facebook-accounts/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()