تستهدف برامج PHP مستخدمي Facebook ومحافظ التشفير

يعمل تكرار جديد لحملة التصيد الاحتيالي على نشر برامج PHP الضارة التي يمكنها الوصول إلى حسابات المستخدمين على Facebook وبيانات التصفح ومحافظ العملات المشفرة وسرقتها.

 تستهدف برامج PHP مستخدمي Facebook ومحافظ التشفير

يفيد Bleeping Computer أن برنامَج نصي للتصيد الاحتيالي المستندة إلى PHP يستهدف حسابات مستخدمي Facebook. البرامج الضارة هي نوع من البرامج الضارة Ducktail. بالإضافة إلى حسابات الـ Facebook، ويمكن للبرنامج أيضًا, الوصول إلى بيانات المتصفح ومحافظ العملات المشفرة.

اكتشف باحثو الأمن السيبراني في WithSecure أول مرة برنامَج Ducktail الضار في يوليو، الذي يستهدف الأفراد والشركات الذين لديهم حسابات تجارية على Facebook. تم تطوير البرنامَج الضار لأكثر من عام ثم انتشر عبر البريد الإلكتروني.

يستخدم المهاجمين تقنيات الهندسة الاجتماعية 

ويبحثون عن الأهداف, بواسطة موقع LinkedIn الاحترافي. يتم توزيع البرامج الضارة في الأرشيفات، بما في ذلك الصور ومقاطع الفيديو والمستندات. بمجرد تنزيل المِلَفّ وفتحه، تتم قراءة مِلَفّ تعريف ارتباط المتصفح وإرساله إلى خادم المتسلل.

في المقابل، يستبدل أحدث إصدار من Ducktail البرمجيات الخبيثة .NET Core بمتغير يعتمد على PHP. تتم استضافة فيروسات ZIP المخفية على منصات استضافة الملفات ذات السمعة الطيبة. عندما تواجه الضحية نافذة منبثقة مزيفة للتحقق من التوافق، يتم استخراج البرنامَج الضار في المجلد LocalAppData ٪ PackagesPXT٪ في الخلفية.

هذا المجلد هو موطن لمجمع PHP الأصلي (يسمى PHP.exe) والعديد من البرامج النصية والأدوات المصممة لسرقة المعلومات.

وفقًا للتقرير

يمكن للبرامج الضارة إضافة مهام مجدولة ليتم تنفيذها على الأجهزة المصابة على فترات منتظمة، بينما تقوم ملفات TMP التي تم إنشاؤها بتشغيل مكونات السرقة. مكون السرقة هو Base64 مشفر وفك تشفيره مباشره في الذاكرة لتقليل احتمالية الكشف.

تستهدف البرامج الضارة Ducktail معلومات حساب Facebook المدمجة وبيانات المتصفح وملفات تعريف الارتباط والمحافظ المشفرة وبيانات الحساب وبيانات النظام.

نقلت حملات Ducktail السابقة البيانات المسروقة إلى Telegram. ومع ذلك، أرسلت الحملات الأخيرة البيانات إلى موقع ويب JSON يحتوي على رموز الحساب والبيانات اللازمة للاحتيال على الجهاز.

يستهدف المطورون الحسابات الشخصية

بالإضافة إلى استهداف حسابات الأعمال، يستهدف Ducktail أيضًا الحسابات التي تخص المستخدمين الفرديين. عندما يتم اختراق حساب تجاري، يحاول النظام الوصول إلى معلومات طريقة الدفع. يشير التطوير المستمر لبرنامج Ducktail إلى أن مطوري البرامج الضارة سيستمرون في العمل على البرنامَج لإنشاء متغيرات جديدة. كما هو الحال دائمًا، 

من الحكمة توخي الحذر من الرسائل الواردة من مرسلين غير معروفين وتحليل الملفات بدقة لمنع تثبيت البرامج الضارة قبل تنزيلها.

قبل ضعة أسابيع، حذرت شركة Meta

الشركة الأم لـ Facebook، أكثر من مليون مستخدم, من أن معلومات تسجيل الدخول الخاصة بهم, ربما تمت تسريبها بواسطة تطبيق خبيث. تم الكشف عن أن باحثي Meta اكتشفوا هذا العام أكثر من 400 تطبيق خبيث من Android و Apple iOS كان من المفترض أن يسرقوا بيانات اعتماد تسجيل الدخول إلى Facebook للمستخدمين.

وفي الوقت نفسه، خضعت Meta للتدقيق على مر السنين بسبب ممارسات الخصوصية الخاصة بها. ووافقت لجنة التجارة الفيدرالية على تسوية بـ قيمة 5 مليارات دولار مع Facebook في عام 2019 بعد تقارير تفيد بأن شركة Cambridge Analytica السياسية قامت, بالوصول بشكل غير صحيح إلى البيانات الشخصية لملايين مستخدمي Facebook.