Ducktail 信息窃取者的运营商表现出“坚持不懈的意愿”，并继续更新他们的恶意软件，作为正在进行的经济驱动活动的一部分。

“该恶意软件旨在窃取浏览器 cookie，并利用经过身份验证的 Facebook 会话从受害者的 Facebook 帐户中窃取信息，”WithSecure 研究员 Mohammad Kazem Hassan Nejad在一项新的分析中表示。

“该行动最终劫持了受害者有足够访问权限的 Facebook 商业帐户。威胁行为者利用他们获得的访问权限来投放广告以获取金钱利益。”

Ducktail 活动归因于越南威胁行为者，旨在针对在 Facebook 广告和商业平台上活跃的数字营销和广告行业的企业。

目标还包括潜在公司中可能拥有 Facebook 商业帐户高级访问权限的个人。这包括营销、媒体和人力资源人员。

芬兰网络安全公司于 2022 年 7 月首次记录了该恶意活动。据信该行动自 2021 年下半年以来一直在进行，尽管有证据表明威胁行为者早在 2018 年底就开始活动。

Zscaler ThreatLabz 上个月进行的后续分析发现了该恶意软件的PHP 版本作为破解软件的安装程序分发。然而，WithSecure 表示，该活动与它在 Ducktail 绰号下追踪的活动没有任何关系。

该恶意软件的最新版本于 2022 年 9 月 6 日重新浮出水面，此前威胁行为者因公开披露而被迫于 8 月 12 日停止其运营，并进行了大量改进以规避检测​​。

感染链现在开始通过 LinkedIn 和 WhatsApp 等平台交付包含托管在 Apple iCloud 和 Discord 上的电子表格文档的存档文件，这表明威胁行为者的鱼叉式网络钓鱼策略多样化。

恶意软件收集的 Facebook 商业帐户信息使用 Telegram 泄露，这些信息使用以七种不同的不存在企业为幌子获得的数字证书进行签名。

“在最近的活动中观察到的一个有趣的转变是 [Telegram 命令和控制] 频道现在包括多个管理员帐户，这表明对手可能正在运行一个附属程序，”Nejad 解释道。

觉得这篇文章很有趣？在Facebook和Twitter 上关注 THN™和LinkedIn以阅读我们发布的更多独家内容。

• 谷歌正在向青少年开放其生成式人工智能搜索体验
• 明十三陵 - 游记和攻略
• 微软表示免费 Windows 7 至 10 或 11 更新的时代已经结束
• Nividia 支持的云计算初创公司 CoreWeave 解锁独角兽地位
• TSA 提醒旅客不要让宠物接受机场 X 光检查
• 八达岭野生动物世界 - 与自然的狂欢
• 了解为什么世界各地的游客蜂拥而至观看这些著名的鸭子