Ducktail PHP版

ほぼこもセキュリティニュース By Terilogy Worx

DucktailはInfostealerです。
2022年7月に多く観測されていました。
このときのDucktailは.Net Coreを使って書かれていてシングルバイナリと呼ばれる1つの実行ファイルにまとめることのできる機構を使ったものでした。
そして企業の担当者を狙い、盗み出した情報はTelegramのチャンネルに取り出すような動きをしていました。

このDucktailの全く新しい版が最近観測されています。
新しい版はこういう感じです。

  • PHP
    新しいDucktailはPHPで書かれています。
  • 配布物
    いろいろなタイプのクラック版として配布されます。
    ゲームやMS Officeアプリケーションなどのクラック版、ポルノ関連ファイルなどです。
    ファイルはZIP形式です。
  • データの盗み出し先
    収集した情報は元の配布サイトにアップロードされます。
    配布サイトはファイルシェアサービスなので、ダウンロードもアップロードも可能です。
  • 盗み出す情報
    システムにインストールされているブラウザ情報を収集します。
    そして検出した各ブラウザのCookieの保存情報をシステムから収集します。
    Facebookに関連したCookieを探します。
    その後、Facebookのページを解釈して支払いに関する情報などを盗み出します。

Ducktailの.Net版とDucktailのPHP版は、最終的な目的の部分は同じです。
しかし実装や配布形式やデータ取り出し方式は大きく異なります。

脅威アクターは配信メカニズムやアプローチを継続的に変更または強化してきます。
私たちも利用者意識や防御システムを継続的に改善していくことが必要ということに思えます。

参考記事(外部リンク):New PHP Variant of Ducktail Infostealer Targeting Facebook Business Accounts
www.zscaler.com/blogs/security-research/new-php-variant-ducktail-infostealer-targeting-facebook-business-accounts