DuckLogs: nuovo stealer e RAT in abbonamento
Topic
Approfondimenti
Trending
tutti

DuckLogs: nuovo stealer e RAT in abbonamento

DuckLogs è un nuovo malware, venduto in abbonamento nel dark web, che offre funzionalità di stealer, RAT, clipper e keylogger.
DuckLogs: nuovo stealer e RAT in abbonamento
Sicurezza Antivirus Antivirus
DuckLogs è un nuovo malware, venduto in abbonamento nel dark web, che offre funzionalità di stealer, RAT, clipper e keylogger.
Pixabay

I ricercatori di Cyble hanno scoperto un nuovo malware, denominato DuckLogs, che offre numerose funzionalità in abbonamento. Gli sviluppatori utilizzano il modello di business noto come malware-as-a-service. Attraverso una pannello di controllo è possibile personalizzare i moduli, monitorare gli attacchi e scaricare i dati rubati. Fortunatamente viene rilevato e bloccato dalla maggioranza delle soluzioni di sicurezza sul mercato.

Proteggi tutti i dispositivi con Avast Premium Security

DuckLogs: stealer, RAT e molto altro

DuckLogs viene offerto nel dark web in tre piani di abbonamento a prezzi compresi tra 19,99 dollari/mese e 69,99 dollari/mese. Oltre alle opzioni di personalizzazione (il malware è composto da vari moduli), il pannello con interfaccia web mostra le statistiche principali, tra cui la classifica degli abbonati con più vittime.

Il malware viene principalmente distribuito tramite email (spam o phishing). La catena di infezione prevede l’uso della steganografia per nascondere il codice infetto in un’immagine bitmap compressa. Al termine viene caricato in memoria l’eseguibile di DuckLogs. All’avvio viene creata una copia nella directory Esecuzione automatica per la persistenza, aggirato il controllo account utente e guadagnato i privilegi di amministratore. Con un comando PowerShell viene inoltre disattivato Microsoft Defender.

Le due funzionalità principali sono quelli di stealer e RAT (Remote Access Trojan). DuckLogs ruba password, cookie e altri dati dai browser installati, email dai client di posta elettronica, messaggi dalle app di messaggistica, credenziali da VPN, giochi e FTP, indirizzi dei wallet delle criptovalute e file di ogni tipo.

Il malware può inoltre inviare e ricevere file, aprire URL nel browser, accendere/spegnere il computer, inviare messaggi, disattivare mouse e tastiera, mostrare il BSOD (Blue Screen Of Death). Altri moduli di DuckLogs permettono di disattivare alcune funzionalità di Windows (Task Manager, editor del registro e altre), sostituire l’indirizzo dei wallet con quello dei cybercriminali (clipper) e registrare i tasti premuti (keylogger).

Tutti i dati vengono quindi inviati ai server C&C (command and control). Gli utenti devono utilizzare una soluzione di sicurezza che rileva email con link o allegati sospetti e blocca l’accesso a siti pericolosi. È anche necessario pestare molta attenzione agli indirizzi usati per le transazioni in criptovalute.

Pubblicato il 4 dic 2022

Link copiato negli appunti

Ti potrebbe interessare

Redline Stealer nascosto in falso game cheat

Redline Stealer nascosto in falso game cheat
LabHost: chiuso il PhaaS e arrestate 37 persone

LabHost: chiuso il PhaaS e arrestate 37 persone
In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%

In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%
SoumniBot: nuovo trojan bancario per Android

SoumniBot: nuovo trojan bancario per Android
Redline Stealer nascosto in falso game cheat

Redline Stealer nascosto in falso game cheat
LabHost: chiuso il PhaaS e arrestate 37 persone

LabHost: chiuso il PhaaS e arrestate 37 persone
In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%

In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%
SoumniBot: nuovo trojan bancario per Android

SoumniBot: nuovo trojan bancario per Android
Luca Colantuoni
Pubblicato il
4 dic 2022
Link copiato negli appunti