Les comptes Facebook Business sont maintenant attaqués via une nouvelle version PHP de la souche de malware Ducktail.
La nouvelle version PHP de Ducktail Malware met les utilisateurs de Facebook en danger
Les titulaires de comptes Facebook Business sont désormais exposés à une nouvelle menace, qui se présente sous la forme d’une variante PHP du programme malveillant Ducktail.
ZScaler, une société de sécurité cloud, a rapporté cette nouvelle découverte dans un article de blog ZScaler le 13 octobre. La nouvelle version de PHP est diffusée parmi les appareils en “prétendant être un installateur de logiciel gratuit/cracké”. Il cible également diverses plates-formes d’infection, notamment les applications Telegram et Microsoft Office.
Dans cette nouvelle version de Ducktail, l’opérateur a changé la méthode d’exécution du malware en convertissant un script PHP au lieu du binaire .Net précédemment utilisé. Une fois l’application installée, la victime sera informée qu’elle “vérifie la compatibilité de l’application”, alors qu’en réalité deux fichiers .tmp sont générés.
Le second de ces deux fichiers est capable de déposer le code malveillant. Après cela, le fichier “exécute deux processus” pour atteindre à la fois la persistance et voler des données.
Ducktail Malware existe depuis 2021
La version originale du malware Ducktail a été découverte pour la première fois fin 2021 et était liée à un opérateur vietnamien qui l’utilisait pour pirater les comptes Facebook Business et Ads Manager.
Dans le billet de blog susmentionné, ZScaler a discuté de la souche Ducktail originale, qui pourrait « manipuler des pages et accéder à des informations financières ». Les attaques ont été reconnues comme hautement ciblées et avaient même la capacité de contourner les défenses de sécurité de Facebook. Les utilisateurs de haut niveau d’une entreprise ont été ciblés dans ces attaques, car ils ont reçu des autorisations avancées.
Ducktail peut également tenter d’accéder à des codes d’authentification à deux facteurs pour éviter cette couche supplémentaire de protection de compte. Différents types de données sont ciblés par le voleur d’informations Ducktail, notamment les détails de paiement, les adresses e-mail et les informations sur les clients.
Les informations des utilisateurs sont toujours menacées avec PHP Infostealer
La variante PHP de Ducktail infostealer recherche également des données sensibles pouvant être exploitées à des fins financières. Même les personnes avec des mesures de protection de connexion peuvent être à risque.
Il semble que les informations de paiement soient également au centre de ce nouveau malware PHP Ducktail, ainsi que les adresses e-mail, les enregistrements de paiement, les sources de financement et les statuts de compte.
Les deux versions de Ducktail sont très dangereuses
Le logiciel malveillant Ducktail original et la variante PHP partagent de nombreuses similitudes et constituent une menace importante pour les comptes Facebook Business et les données sensibles qu’ils détiennent. Le créateur de Ducktail peut continuer à créer des versions ultérieures de son code d’origine pour améliorer encore les performances de ses attaques. Le temps nous dira si cela s’avère être le cas.
