資安廠商 WithSecure 旗下的資安專家,近日發現一波名為「Ducktail」的釣魚攻擊活動,利用全新出現、以 PHP 撰寫的 Windows 資料竊取惡意軟體,用來竊取受害者的 Facebook 帳號、瀏覽器資料、加密貨幣錢包等機密資訊。
WithSecure 指出,該公司於 2022 年 7 月起觀察到 Ducktail 的攻擊活動;該攻擊主要是在 LinkedIn 求職求才社群平台上,透過社交工程將含有 .NET Core 惡意程式碼的行銷計畫 PDF 檔傳遞給受害者。
一旦受害者開啟該 PDF 並執行惡意程式碼後,存於電腦的瀏覽器資訊就會被傳送到一個 Telegram 私密頻道,駭侵者利用這個私密頻道作為其控制伺服器;駭侵者主要鎖定其中的 Facebook Business 帳號資料,取得資料後即用於進行進一步的金融詐騙或惡意廣告。
另一家資安廠商 ZScaler 則指出,他們觀察到 Ducktail 近期也開始利用 PHP 程式碼的惡意軟體,偽裝為遊戲相關檔案、字幕檔、成人影片等,誘使用戶下載;用戶執行該惡意程式碼後,其電腦的 Microsoft Office 應用程式就會遭到攻擊。用戶會看到假的「檢查應用程式相容性」彈跳視窗,實則正在安裝駭侵者推送的各種惡意軟體。
該惡意軟體執行後,會每日一次在背景中竊取用戶的各種 Facebook 帳號詳細資訊、瀏覽器 Cookie 及其他資料、加密貨幣錢包與帳號資訊,以及各種系統資訊。
鑑於各種釣魚攻擊日益頻繁,建議用戶如在社群平台接獲他人傳送的檔案,務必確認該名傳送者的真實身分,切勿開啟身分不明人士傳送的任何檔案或連結。
本文轉載自TWCERT/CC。