Новая MaaS-угроза (Malware-as-a-Service, «Малварь-как-услуга») DuckLogs, замеченная специалистами компании Cyble, предлагает своим клиентам ряд модулей для кражи информации, перехвата нажатий клавиш, доступа к буферу обмена и удаленного доступа к скомпрометированному хосту. Создатели DuckLogs утверждают, что их платформой пользуются более 2000 хакеров.

Исследователи пишут, что DuckLogs работает только через веб-интерфейс, и статистика на сайте вредоноса гласит, что им уже пользуются более 2000 киберпреступников, а текущее количество жертв превышает 6000.

К тому же, предполагается, что операторы DuckLogs оказывают дополнительные услуги некоторым клиентам, помогая им распространять полезные нагрузки, а также предоставляют инструменты для внедрения файлов и смены расширений.

Главными компонентами DuckLogs являются инфостилер и троян удаленного доступа (RAT), но также MaaS имеет более 100 отдельных модулей, предназначенных для атак на конкретные приложения. Ниже приведен список некоторых приложений и данных, на которые нацелен инфостилер DuckLogs:

  • информация об оборудовании и ПО;
  • файлы, хранящиеся на локальных дисках;
  • учетные данные и файлы cookie в браузерах;
  • Thunderbird и Outlook;
  • мессенджеры Discord, Telegram, Signal и Skype;
  • данные учетных записей NordVPN, ProtonVPN, OpenVPN и CrypticVPN;
  • данные FileZilla и TotalCommander;
  • учетные записи Steam, Minecraft, Battle.Net и Uplay;
  • криптовалютные кошельки Metamask, Exodus, Coinomi, Atomic и Electrum.

RAT-компонент, в свою очередь, позволяет извлекать файлы с управляющего сервера и запускать их на зараженном хосте, отображать экран сбоя, выключать, перезагружать или блокировать устройство, выходить из системы, а также открывать URL-адреса в браузере.

Дополнительные модули DuckLogs могут перехватывать нажатия клавиш, получать доступ и воровать данные из буфера обмера (обычно используется для перехвата криптовалютных транзакций), а также делать скриншоты.

По словам экспертов, кроме этого малварь поддерживает уведомления через Telegram, зашифрованные логи и коммуникацию, обфускацию кода, технику process hollowing для запуска полезной нагрузки в памяти, имеет механизм для сохранения присутствия в системе, а также умеет обходить Windows User Account Control (UAC).

Также отмечается, что билдер обладает некоторыми функциями для защиты от обнаружения, включая добавление в исключения Windows Defender, задержку выполнения полезной нагрузки и отключение «Диспетчера задач» на хосте.

Интересно, что пока веб-панель DuckLogs доступна на четырех доменах в обычном интернете (а не в даркнете).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии