17/10/2022    

BOLETÍN NRO 2022-595

Ducktail existe desde 2021 y se atribuye a un grupo de ciberdelincuentes de vietnam. Las campañas hasta la fecha se han centrado en apoderarse de las cuentas de Facebook Business, tanto para manipular páginas como para acceder a información financiera. Investigadores de seguridad informan que han detectado signos de nueva actividad que involucra una campaña actualizada de Ducktail que usa un script en PHP para actuar como un malware que roba información de Windows.

La mayoría de los señuelos falsos para esta campaña están relacionados con juegos, archivos de subtítulos, videos para adultos y aplicaciones de MS Office. Estos están alojados en formato ZIP en servicios legítimos de alojamiento de archivos.

Cuando se ejecuta el archivo, la instalación se lleva a cabo en segundo plano mientras la víctima visualiza ventanas emergentes falsas de "Comprobación de compatibilidad de aplicaciones" en la interfaz , esperando que se instale una aplicación falsa enviada por ciberdelincuentes.

El malware finalmente se extraerá a la carpeta %LocalAppData%\Packages\PXT, que incluye el intérprete local PHP.exe con varias secuencias de comandos utilizadas para robar información y herramientas de soporte, como se muestra a continuación.

Figura 1. Malware Ducktail Stealer en PHP.

El malware en PHP logra la persistencia en el sistema, agregando tareas programadas en el host para ejecutarlas diariamente en intervalos regulares. Al mismo tiempo, un archivo TMP generado ejecuta un proceso paralelo para iniciar el componente de extracción de datos.

Figure 2. Nuevo flujo de ataque Ducktail.

El código malicioso, es un script en PHP ofuscado en (Base64), que se descifra directamente en la memoria sin tocar el disco, lo que minimiza las posibilidades de ser detectado.

Figura 3. El script malicioso.

El objetivo era tomar el control de esas cuentas y dirigir los pagos a sus cuentas bancarias o ejecutar sus propias campañas de Facebook para promocionar Ducktail entre más víctimas.

Sin embargo, en la última campaña, investigadores notaron que el alcance de la orientación se ha ampliado para incluir a los usuarios habituales de Facebook y desviar cualquier información valiosa que puedan tener almacenada en sus cuentas.

Aún así, si se determina que el tipo de cuenta es una cuenta comercial, el malware intentará obtener información adicional sobre métodos de pago, ciclos, montos gastados, detalles del propietario, estado de verificación, páginas propias, dirección de PayPal y más.

La evolución de Ducktail y el intento de evadir el monitoreo posterior por parte de los investigadores de seguridad indica que los ciberdelincuentes tienen como objetivo continuar con sus operaciones rentables.

Indicadores de Compromiso

HASH

MD5: df071df2784573c444ca6e1421e3cb89

SHA-256: 4258fee48ef748d0a717430e6217ee972e3ab59041a78cc6a5fd4758e7399523

MD5: 2fe1997f5339f97598da1fee5c1201a4

SHA-256: 60005da022100de13b60d2697a69da7d6adf3ca9ec377e47bb177940d1fa5cc5

MD5: f7c7e9c1cd68602f9bbb5033b3794e26

SHA-256: e72eefe8b16dc105a3a4c2c296af3bec2c6b1e22b28fde5c85baa3f9d9e6fe23

MD5: 8dc37d09f1a77b939a7373e6134e4824

SHA-256: 3431f53b245456ecc7371dbd517a5b45f720dee5b38189f254d93b67cc1ceb27

MD5: 321442c6546a63e5315eb321341dfbba

SHA-256: 49da2839d576caf91ee004d3703b21fc01b3dfd65edfc051b13d4992b1cf1e2b