Nelle ultime settimane si sta diffondendo online una nuova campagna phishing Ducktail.
Il malware, scoperto per la prima volta dagli esperti di Zscaler nel 2021, abusa di popolari siti Web di condivisione file per diffondere versioni di crack o programmi piratati che in realtà contengono il suo codice malevolo.
La nuova versione si caratterizza per l’utilizzo insolito di PHP, popolare linguaggio di programmazione solitamente associato allo sviluppo Web. Uno script PHP dannoso infatti viene attivato quando la vittima esegue il programma di installazione sul proprio dispositivo, dopo averlo scaricato.
E’ in questo momento che dal browser web della vittima questa forma di attacco (riconducibile ad hacker vietnamiti) prende di mira account Facebook Business eseguendo codice arbitrario con l’aiuto di questo script PHP dannoso.
Ultimamente, tuttavia, nel mirino degli hacker sono finiti anche account standard della piattaforma, utilizzati successivamente per frodi finanziarie o campagne di pubblicità spam.
Tra le funzionalità riscontrate in questa nuova variante si segnalano, inoltre, la capacità di recuperare le informazioni sul browser installato nel sistema, estrarre informazioni memorizzate dei cookie del browser dal sistema e raccogliere il tutto per inviare i dati al server di comando e controllo.
La scoperta della nuova variante Ducktail ha posto inoltre nuove riflessioni sulla questione sicurezza online e su quanto l’installazione di simili pacchetti software sia ancora oggi molto utilizzata a livello globale ma priva di ogni garanzia di sicurezza.