更新的 Ducktail 信息窃取者在行动扩展中被利用 媒体
越南黑客利用 Ducktail 信息盗窃工具扩展活动
关键亮点
越南黑客正在扩展 Ducktail 信息盗窃工具的操作。攻击者曾通过 LinkedIn 传播病毒,但在8月暂停,并在9月重新启动活动。新变种采用 NET 7 NativeAOT 功能,但10月后又回归 NET Core 3。Ducktail 还通过 WhatsApp 档案文件进行攻击。越南的网络威胁演员们正在扩展他们使用的 Ducktail 信息盗窃工具,并推出了更多的功能。根据 SecurityWeek 的报道,攻击者在今年早些时候通过 LinkedIn 传播 Ducktail 信息偷窃工具,但在8月由于被撤销的数字证书停止了恶意软件的分发。随后,在9月,攻击者重新启动了他们的操作,使用了通过 NET 7 NativeAOT 功能编译的新变种。这个恶意软件变种能够从攻击者的指挥与控制服务器中检索电子邮件地址。
虽然攻击者在10月又回归使用 NET Core 3 的 Windows 二进制文件来进行恶意活动,并通过虚假文件隐藏其恶意操作,但多阶段 Ducktail 变种仍在被频繁使用。调查发现,Ducktail 还利用 WhatsApp 档案文件来针对受害者。“有一起事件涉及的受害者完全在 Apple 生态系统中操作,并未从任何 Windows 机器上登录他们的 Facebook 账户。由于证据不足,该事件的初始攻击途径尚未确定。调查中没有发现用户设备上有恶意软件或主机被妥协的迹象,”WithSecure 说。
时间事件2023年早期利用 LinkedIn 传播 Ducktail 假软件2023年8月停止恶意软件分发,因数字证书被撤销2023年9月重新启动操作,推出新变种2023年10月攻击者转向 NET Core 3 编写的 Windows 文件引文:
有一起事件涉及的受害者完全在 Apple 生态系统中操作,并未从任何 Windows 机器上登录他们的 Facebook 账户。由于证据不足,该事件的初始攻击途径尚未确定。” WithSecure
随着 Ducktail 恶意软件的进化,组织应该加强对网络安全的关注,以保护自身免受此类攻击。
魔戒加速器官网