Nhóm hacker Việt Nam đứng sau phần mềm đánh cắp Ducktail đã được liên kết với một chiến dịch mới chạy từ tháng 3 đến đầu tháng 10 năm 2023, nhắm vào các chuyên gia tiếp thị tại Ấn Độ với mục tiêu chiếm đoạt tài khoản doanh nghiệp trên Facebook.
"Điểm quan trọng làm nó nổi bật là khác với các chiến dịch trước đó, họ sử dụng Delphi làm ngôn ngữ lập trình thay vì ứng dụng .NET," Kaspersky nói trong một báo cáo được xuất bản vào tuần trước.
Ducktail, cùng với Duckport và NodeStealer, là một phần của hệ sinh thái tội phạm mạng đang hoạt động từ Việt Nam, với những kẻ tấn công chủ yếu sử dụng quảng cáo tài trợ trên Facebook để phổ biến quảng cáo độc hại và triển khai phần mềm đánh cắp có khả năng lấy cắp cookie đăng nhập của nạn nhân và cuối cùng chiếm quyền kiểm soát tài khoản của họ.
Các cuộc tấn công này chủ yếu nhắm vào người dùng có thể truy cập vào một tài khoản doanh nghiệp Facebook. Sau đó, kẻ lừa đảo sử dụng quyền truy cập trái phép để đặt quảng cáo để có lợi nhuận, duy trì nhiễm sắc thể một cách rộng rãi hơn.
Trong chiến dịch được ghi lại bởi công ty an ninh mạng Nga, những mục tiêu tiềm năng đang tìm kiếm sự thay đổi sự nghiệp sẽ nhận được các tập tin nén chứa một tệp thực thi độc hại được che giấu dưới biểu tượng PDF để đánh lừa họ mở tệp nhị phân.
Việc làm này dẫn đến việc tệp độc hại lưu một kịch bản PowerShell có tên param.ps1 và một tài liệu PDF lừa đảo cục bộ vào thư mục "C:\Users\Public" trên Windows.
"Kịch bản sử dụng trình xem PDF mặc định trên thiết bị để mở tài liệu lừa đảo, tạm dừng trong năm phút, và sau đó chấm dứt quá trình của trình duyệt Chrome," Kaspersky nói.
Tệp thực thi mẫu cũng tải xuống và khởi chạy một thư viện giả mạo có tên là libEGL.dll, quét các thư mục "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" và "C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar" để tìm bất kỳ phím tắt (tức là tệp LNK) nào đến một trình duyệt web dựa trên Chromium.
Bước tiếp theo bao gồm việc thay đổi tệp tắt đường dẫn của trình duyệt bằng cách thêm một công tắc dòng lệnh "--load-extension" để khởi chạy một tiện ích mở rộng giả mạo như add-on Google Docs Offline chính thức để tránh bị phát hiện.
Phần mở rộng được thiết kế để gửi thông tin về tất cả các tab đang mở đến một máy chủ được điều khiển bởi kẻ tấn công đăng ký tại Việt Nam và chiếm đoạt các tài khoản doanh nghiệp trên Facebook.
Những phát hiện này làm nổi bật một sự chuyển đổi chiến lược trong các kỹ thuật tấn công của Ducktail và đến khi Google đệ đơn kiện ba cá nhân không xác định tại Ấn Độ và Việt Nam vì đã tận dụng sự quan tâm của công chúng đối với các công cụ AI sinh sáng như Bard để lan truyền phần mềm độc hại qua Facebook và lấy cắp thông tin đăng nhập tài khoản truyền thông xã hội.
"Những kẻ tấn công đơn phương phát tán liên kết đến phần mềm độc hại của họ qua các bài đăng trên mạng xã hội, quảng cáo (tức là bài đăng tài trợ), và trang, đều giả vờ cung cấp các phiên bản tải về của Bard hoặc các sản phẩm AI Google khác," công ty này phàn nàn trong đơn kiện của mình.
"Khi người dùng đăng nhập vào tài khoản mạng xã hội nhấp vào các liên kết được hiển thị trong quảng cáo hoặc trên trang của bị đơn phương, các liên kết sẽ chuyển hướng đến một trang web bên ngoại nơi một tập tin nén RAR, một loại tệp, được tải xuống vào máy tính của người dùng."
Các tập tin nén bao gồm một tệp cài đặt có khả năng cài đặt một tiện ích mở rộng trình duyệt có khả năng lấy cắp tài khoản truyền thông xã hội của nạn nhân.
Trong tháng 5 vừa qua, Meta cho biết họ đã quan sát các tác nhân đe dọa tạo ra các tiện ích mở rộng trình duyệt đánh lừa có sẵn trong các cửa hàng web chính thức, giả mạo rằng chúng cung cấp các công cụ liên quan đến ChatGPT, và họ đã phát hiện và chặn hơn 1.000 URL duy nhất từ việc được chia sẻ trên các dịch vụ của họ.