Melalui serangan phising Ducktail, peretas memanfaatkan malware info stealer pencuri Facebook dan mengeksploitasi akun curian tersebut sedang marak di dunia maya saat ini.
Malware pencuri informasi ini ditulis dalam PHP, selain mencuri akun Facebook, ia juga mengincar data browser dan dompet cryptocurrency.
Baca juga: Bahaya Malware Chromeloader |
Modus Operandi
Operasi phising Ducktail mengandalkan serangan social engineering melalui LinkedIn, mendorong malware .NET Core yang menyamar sebagai dokumen PDF proyek tertentu.
Malware menargetkan informasi yang disimpan di browser, dengan fokus pada data akun Facebook Business, dan mengekstraknya ke Telegram pribadi sebagai server C2.
Kredensial yang dicuri ini kemudian digunakan untuk penipuan keuangan atau untuk melakukan iklan berbahaya.
Belakangan diketahui ada tanda-tanda aktivitas baru operasi phising Ducktail yang diperbarui yang menggunakan skrip PHP sebagai malware pencuri informasi Windows.
Baca juga: Jutaan Seluler Terinfeksi Malware Android |
Malware Pencuri Informasi PHP
Ducktail sekarang telah menggantikan malware pencuri informasi NET Core lama yang digunakan dalam operasi sebelumnya dengan yang ditulis dalam PHP.
Sebagian besar umpan palsu untuk operasi ini terdiri dari:
- Game.
- File subtitle.
- Video dewasa.
- Aplikasi MS Office yang di-crack.
Ini semua di-host dalam format ZIP pada layanan hosting file yang sah.
Saat dijalankan, penginstalan berlangsung di balik layar sementara korban melihat pop-up ‘Checking Application Compatibility’ palsu di frontend, menunggu aplikasi palsu yang dikirim oleh scammer untuk diinstal.
Malware pada akhirnya akan diekstraksi ke folder %LocalAppData%\Packages\PXT, yang mencakup penerjemah lokal PHP.exe, berbagai skrip yang digunakan untuk mencuri informasi, dan alat pendukung, seperti yang ditunjukkan di bawah ini.
Malware PHP mencapai ketekunan dengan menambahkan tugas terjadwal pada host untuk dieksekusi setiap hari dan secara berkala. Pada saat yang sama, file TMP yang dihasilkan menjalankan proses paralel untuk meluncurkan komponen pencuri.
Kode pencuri adalah skrip PHP (Base64) yang dikaburkan, yang diuraikan langsung di memori tanpa menyentuh disk, meminimalkan kemungkinan terdeteksi.
Data yang ditargetkan mencakup detail akun Facebook yang luas, data sensitif yang disimpan di browser, cookie browser, dompet cryptocurrency dan informasi akun, dan data sistem dasar.
Informasi yang dikumpulkan tidak lagi dieksfiltrasi ke Telegram tetapi disimpan di situs web JSON yang juga menghosting token akun dan data yang diperlukan untuk melakukan penipuan di perangkat.
Baca juga: Malware Sality Serang ICS |
Memperluas Penargetan
Dalam operasi phising sebelumnya, Ducktail menargetkan karyawan perusahaan yang bekerja di departemen keuangan atau pemasaran
Perusahaan yang kemungkinan akan memiliki izin untuk membuat dan menjalankan kampanye iklan di platform media sosial.
Tujuannya adalah untuk mengendalikan akun tersebut dan pembayaran langsung ke rekening bank atau menjalankan kampanye Facebook untuk mempromosikan Ducktail.
Namun dalam aksi terbaru, mereka memperluas penargetan ke pengguna Facebook biasa untuk menyedot informasi berharga yang mereka simpan di akun.
Namun, jika jenis akun ditentukan sebagai akun bisnis, malware akan mencoba mengambil informasi tambahan berupa:
- Metode pembayaran.
- Siklus.
- Jumlah yang dibelanjakan.
- Detail pemilik.
- Status verifikasi.
- Halaman yang dimiliki.
- Alamat PayPal.
- Dan banyak lagi.
Evolusi Ducktail dan upaya untuk menghindari pemantauan selanjutnya oleh peneliti keamanan menunjukkan bahwa pelaku ancaman bertujuan untuk melanjutkan operasi mereka yang menguntungkan.
Pengguna disarankan untuk berhati-hati dengan pesan instan di LinkedIn dan memperlakukan permintaan unduhan file dengan ekstra hati-hati, terutama perangkat lunak yang retak, mod game, dan cheat.
Demikianlah informasi mengenai malware info stealer pencuri Facebook ini, semoga dapat menambah wawasan seputar keamanan dan ancaman siber.
Baca lainnya: |
Sumber berita: