Die Schadsoftware Ducktail, die bereits seit einigen Monate im Umlauf ist, erhält gewissermassen ein Update. Neu wird der schädliche Code über Fake-Installationsprogramme für Anwendungen und Games verbreitet und soll daher von Antiviren-Apps schwieriger zu erkennen sein. Als ZIP-Dateien werden die Installationsprogramme getarnt und in Umlauf gebracht, wie Sicherheitsforscher von "Zscaler" warnen.
Neben dem Gesicht der Schadsoftware Ducktail, hat sich auch der dahinterliegende Code verändert. Mit dem Download der schadhaften Installationsprogramme wird neu nämlich ein PHP-Skript installiert. Genauer gesagt handelt es sich um ein Base64-kodiertes PHP-Skript, dessen Inhalt direkt im Arbeitsspeicher dekodiert und daher nicht auf der Festplatte zwischengespeichert wird. Genau aus diesem Grund sei die optimierte Schadsoftware für Antiviren-Apps auch schwierig zu erkennen. Das Ziel der neuen Ducktail-Version bleibt jedoch dasselbe wie zuvor: Der Diebstahl von Zugangsdaten zu Facebook-Konten. Mittels der Zugangsdaten sollen dann Informationen zu Zahlungsmethoden abgegriffen werden.
Betroffen sind besonders geschäftlich genutzte Facebook-Konten, doch auch private Accounts geraten zunehmend ins Visier der Cyberkriminellen. Daher empfiehlt es sich für Jedermann, kritisch mit dubiosen Mails und darin enthaltenen Dateien umzugehen. Dasselbe gilt für die Installation von Dateien aus dem Internet.
(rf)
