Полезные знания Вредоносом DuckLogs пользуются тысячи хакеров

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.959
RUB
50
Новая MaaS-угроза (Malware-as-a-Service, «Малварь-как-услуга») , замеченна специалистами компании Cyble.


Она предлагает своим клиентам ряд модулей для кражи информации, перехвата нажатий клавиш, доступа к буферу обмена и удаленного доступа к скомпрометированному хосту. Создатели DuckLogs утверждают, что их платформой пользуются более 2000 хакеров.




Исследователи пишут, что DuckLogs работает только через веб-интерфейс, и статистика на сайте вредоноса гласит, что им уже пользуются более 2000 киберпреступников, а текущее количество жертв превышает 6000.



К тому же, предполагается, что операторы DuckLogs оказывают дополнительные услуги некоторым клиентам, помогая им распространять полезные нагрузки, а также предоставляют инструменты для внедрения файлов и смены расширений.

Главными компонентами DuckLogs являются инфостилер и троян удаленного доступа (RAT), но также MaaS имеет более 100 отдельных модулей, предназначенных для атак на конкретные приложения.

Ниже приведен список некоторых приложений и данных, на которые нацелен инфостилер DuckLogs:

  • информация об оборудовании и ПО;
  • файлы, хранящиеся на локальных дисках;
  • учетные данные и файлы cookie в браузерах;
  • Thunderbird и Outlook;
  • мессенджеры Discord, Telegram, Signal и Skype;
  • данные учетных записей NordVPN, ProtonVPN, OpenVPN и CrypticVPN;
  • данные FileZilla и TotalCommander;
  • учетные записи Steam, Minecraft, Battle.Net и Uplay;
  • криптовалютные кошельки Metamask, Exodus, Coinomi, Atomic и Electrum.
RAT-компонент, в свою очередь, позволяет извлекать файлы с управляющего сервера и запускать их на зараженном хосте, отображать экран сбоя, выключать, перезагружать или блокировать устройство, выходить из системы, а также открывать URL-адреса в браузере.

Дополнительные модули DuckLogs могут перехватывать нажатия клавиш, получать доступ и воровать данные из буфера обмера (обычно используется для перехвата криптовалютных транзакций), а также делать скриншоты.

По словам экспертов, кроме этого малварь поддерживает уведомления через Telegram, зашифрованные логи и коммуникацию, обфускацию кода, технику process hollowing для запуска полезной нагрузки в памяти, имеет механизм для сохранения присутствия в системе, а также умеет обходить Windows User Account Control (UAC).



Также отмечается, что билдер обладает некоторыми функциями для защиты от обнаружения, включая добавление в исключения Windows Defender, задержку выполнения полезной нагрузки и отключение «Диспетчера задач» на хосте.

Интересно, что пока веб-панель DuckLogs доступна на четырех доменах в обычном интернете (а не в даркнете).

 
Сверху Снизу