Ducktail 信息窃取者的运营商表现出“坚持不懈的意愿”，并继续更新他们的恶意软件，作为正在进行的经济驱动活动的一部分。

“该恶意软件旨在窃取浏览器 cookie，并利用经过身份验证的 Facebook 会话从受害者的 Facebook 帐户中窃取信息，”WithSecure 研究员 Mohammad Kazem Hassan Nejad在一项新的分析中表示。

“该行动最终劫持了受害者有足够访问权限的 Facebook 商业帐户。威胁行为者利用他们获得的访问权限来投放广告以获取金钱利益。”

Ducktail 活动归因于越南威胁行为者，旨在针对在 Facebook 广告和商业平台上活跃的数字营销和广告行业的企业。

目标还包括潜在公司中可能拥有 Facebook 商业帐户高级访问权限的个人。这包括营销、媒体和人力资源人员。

芬兰网络安全公司于 2022 年 7 月首次记录了该恶意活动。据信该行动自 2021 年下半年以来一直在进行，尽管有证据表明威胁行为者早在 2018 年底就开始活动。

Zscaler ThreatLabz 上个月进行的后续分析发现了该恶意软件的PHP 版本作为破解软件的安装程序分发。然而，WithSecure 表示，该活动与它在 Ducktail 绰号下追踪的活动没有任何关系。

该恶意软件的最新版本于 2022 年 9 月 6 日重新浮出水面，此前威胁行为者因公开披露而被迫于 8 月 12 日停止其运营，并进行了大量改进以规避检测​​。

感染链现在开始通过 LinkedIn 和 WhatsApp 等平台交付包含托管在 Apple iCloud 和 Discord 上的电子表格文档的存档文件，这表明威胁行为者的鱼叉式网络钓鱼策略多样化。

恶意软件收集的 Facebook 商业帐户信息使用 Telegram 泄露，这些信息使用以七种不同的不存在企业为幌子获得的数字证书进行签名。

“在最近的活动中观察到的一个有趣的转变是 [Telegram 命令和控制] 频道现在包括多个管理员帐户，这表明对手可能正在运行一个附属程序，”Nejad 解释道。

觉得这篇文章很有趣？在Facebook和Twitter 上关注 THN™和LinkedIn以阅读我们发布的更多独家内容。

• 天门市茶圣故里园游记 - 参观茶经楼
• 我和傲慢的初级程序员一起工作的那段痛苦经历
• 去东坡赤壁旅游看这篇!最全最细的东坡赤壁攻略
• 探索明显陵 - 你该知道的明显陵知识大全
• 祈福必去武汉归元禅寺 - 为什么归元禅寺祈福很灵
• 白兆山李白旅游风景区 - 我在湖北旅游
• 什么是思维模型?思维模型有什么用?