Новая MaaS-угроза (Malware-as-a-Service, «Малварь-как-услуга») DuckLogs, замеченная специалистами компании Cyble, предлагает своим клиентам ряд модулей для кражи информации, перехвата нажатий клавиш, доступа к буферу обмена и удаленного доступа к скомпрометированному хосту. Создатели DuckLogs утверждают, что их платформой пользуются более 2000 хакеров.
Исследователи пишут, что DuckLogs работает только через веб-интерфейс, и статистика на сайте вредоноса гласит, что им уже пользуются более 2000 киберпреступников, а текущее количество жертв превышает 6000.
К тому же, предполагается, что операторы DuckLogs оказывают дополнительные услуги некоторым клиентам, помогая им распространять полезные нагрузки, а также предоставляют инструменты для внедрения файлов и смены расширений.
Главными компонентами DuckLogs являются инфостилер и троян удаленного доступа (RAT), но также MaaS имеет более 100 отдельных модулей, предназначенных для атак на конкретные приложения. Ниже приведен список некоторых приложений и данных, на которые нацелен инфостилер DuckLogs:
- информация об оборудовании и ПО;
- файлы, хранящиеся на локальных дисках;
- учетные данные и файлы cookie в браузерах;
- Thunderbird и Outlook;
- мессенджеры Discord, Telegram, Signal и Skype;
- данные учетных записей NordVPN, ProtonVPN, OpenVPN и CrypticVPN;
- данные FileZilla и TotalCommander;
- учетные записи Steam, Minecraft, Battle.Net и Uplay;
- криптовалютные кошельки Metamask, Exodus, Coinomi, Atomic и Electrum.
RAT-компонент, в свою очередь, позволяет извлекать файлы с управляющего сервера и запускать их на зараженном хосте, отображать экран сбоя, выключать, перезагружать или блокировать устройство, выходить из системы, а также открывать URL-адреса в браузере.
Дополнительные модули DuckLogs могут перехватывать нажатия клавиш, получать доступ и воровать данные из буфера обмера (обычно используется для перехвата криптовалютных транзакций), а также делать скриншоты.
По словам экспертов, кроме этого малварь поддерживает уведомления через Telegram, зашифрованные логи и коммуникацию, обфускацию кода, технику process hollowing для запуска полезной нагрузки в памяти, имеет механизм для сохранения присутствия в системе, а также умеет обходить Windows User Account Control (UAC).
Также отмечается, что билдер обладает некоторыми функциями для защиты от обнаружения, включая добавление в исключения Windows Defender, задержку выполнения полезной нагрузки и отключение «Диспетчера задач» на хосте.
Интересно, что пока веб-панель DuckLogs доступна на четырех доменах в обычном интернете (а не в даркнете).