Giải mã Ducktail: Phần mềm độc hại có nguồn gốc từ Việt Nam

07:49 | 11/12/2023

Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam. 

Các nhà nghiên cứu của Kaspersky đã phân tích một chiến dịch gần đây được bắt đầu diễn ra từ tháng 3 đến đầu tháng 10/2023 với mục tiêu vào các doanh nghiệp hoạt động kinh doanh, đặc biệt trong lĩnh vực tiếp thị và quảng cáo. Một tính năng quan trọng của phần mềm độc hại Ducktail khiến nó trở nên khác biệt, không giống như các chiến dịch trước đó dựa trên các ứng dụng .NET, chiến dịch này sử dụng Delphi làm ngôn ngữ lập trình.

Ducktail thường được lưu trữ trên các dịch vụ lưu trữ tệp đám mây công cộng, phân phối dưới dạng tệp lưu trữ chứa phần mềm độc hại cùng với các hình ảnh, tài liệu và video được đặt tên bằng các từ khóa liên quan đến tiếp thị thương hiệu và sản phẩm, nhằm giảm thiểu sự nghi ngờ.

Sau đó, phần mềm độc hại này đánh cắp cookie của trình duyệt và lợi dụng các phiên Facebook đã được xác thực để đánh cắp thông tin cần thiết nhằm chiếm đoạt tài khoản Meta Business mà nạn nhân có thể đã truy cập.

Ducktail và phần mở rộng độc hại

Chiến dịch này cho thấy kẻ tấn công gửi một kho lưu trữ chứa hình ảnh các sản phẩm mới của một số công ty kinh doanh thời trang cùng với một tệp thực thi độc hại được ngụy trang bằng biểu tượng PDF. Phần mềm độc hại sẽ cài đặt một tiện ích mở rộng trên trình duyệt có khả năng đánh cắp các tài khoản quảng cáo và kinh doanh trên Facebook.

Các nhà nghiên cứu của Kaspersky đã kiểm tra một số lượng lớn tài liệu lưu trữ từ chiến dịch mới nhất và cho biết trong mỗi trường hợp, một bản sao của Ducktail được gửi qua email dưới tên của một công ty thời trang lớn.

Hình 1. Nội dung của kho lưu trữ độc hại

Nếu nạn nhân mở các tệp này, chúng sẽ lưu tập lệnh PowerShell có tên param.ps1 và tệp PDF giải mã vào thư mục C:\Users\Public. Tập lệnh sử dụng trình xem PDF mặc định trên thiết bị để mở mồi nhử, tạm dừng trong năm phút và sau đó chấm dứt tiến trình của trình duyệt Chrome.

Trong khi đó, tệp thực thi gốc sẽ lưu thư viện độc hại libEGL.dll vào thư mục C:\Users\Public\Libraries\ rồi tải nó. Khi thực thi, thư viện sẽ xem xét mọi tệp LNK mà nó tìm thấy trong đường dẫn: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\, C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\,... cũng như trên giao diện Desktop, thay đổi chuỗi khởi chạy cho tất cả các trình duyệt dựa trên Chrome (Google Chrome, Edge, Vivaldi, Brave). Một số chuỗi thư viện cần thiết để mã nguồn của Ducktail khởi chạy được mã hóa bằng khóa AES-CBC “gnghfn47n467n43b” và vectơ khởi tạo “dakfhskljh92384h”.

Hình 2. Ducktail sử dụng các chuỗi chứa khóa AES và vectơ khởi tạo trong mã nguồn

Ngoài việc khởi chạy thư viện, tệp gốc còn lưu các tệp mở rộng trình duyệt độc hại vào C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\fjoaledfpmneenckfbpdfhkmimnjocfa. 

Tiện ích mở rộng này ngụy trang bằng biểu tượng Google Docs Offline cùng văn bản mô tả. Điều đáng chú ý là các biến thể khác của Ducktail có thể sử dụng các đường dẫn khác nhau để lưu trữ tiện ích mở rộng.

Hình 3. Tiện ích mở rộng độc hại trên Google Chrome (trái) và tiện ích mở rộng thực tế Google Docs Office (phải)

Ngoài ra, tập lệnh ngoại lệ (exception) chính của Ducktail cũng bị xáo trộn, tập lệnh này sẽ liên tục gửi thông tin chi tiết của tất cả các tab trình duyệt đang mở đến máy chủ ra lệnh và kiểm soát (C&C). Nếu phát hiện các URL liên quan đến Facebook, nó sẽ kiểm tra các quảng cáo và tài khoản doanh nghiệp để đánh cắp chúng. 

Đặc biệt, tiện ích mở rộng đánh cắp phiên cookie và thông tin chi tiết về tài khoản mà nạn nhân đăng nhập trên thiết bị. Để bỏ qua xác thực hai yếu tố, tiện ích mở rộng sử dụng các yêu cầu API của Facebook và dịch vụ 2fa[.]live, cung cấp nhiều công cụ hỗ trợ khác nhau để tạo mã truy cập một lần, cùng nhiều tính năng khác. 

Đây có thể là cách tin tặc đăng nhập sau khi phiên xác thực của người dùng hết hạn. Thông tin đăng nhập và cookie bị đánh cắp sẽ được chuyển tiếp đến máy chủ C&C được đăng ký tại Việt Nam. Trong chiến dịch này, ngoài tập lệnh chính, phần mềm độc hại sẽ lưu vào thư mục tiện ích mở rộng một tập lệnh có tên jquery-3.3.1.min.js.

Hình 4. Luồng thực thi của tệp độc hại

Phạm vi tấn công DuckTail

Theo Kaspersky, kẻ tấn công thường tấn công người dùng ở Ấn Độ nhất. Bên cạnh đó, hãng bảo mật của Nga cho biết cũng đã ngăn chặn nỗ lực lây nhiễm trên thiết bị của người dùng ở Kazakhstan, Ukraine, Đức, Bồ Đào Nha, Ireland, Hy Lạp, Jordan, Pakistan, Việt Nam, UAE, Mỹ, Peru và Chile.

Ma trận MITER ATT&CK

Nền tảng MITRE ATT&CK (Adversarial Tactics Techniques & Common Knowledge) ra đời vào năm 2013 bởi MITRE (công ty có trụ sở tại Mỹ), với mục đích tạo ra một tài liệu toàn diện về các chiến thuật, kỹ thuật cũng như quy trình mà những kẻ tấn công mạng thường sử dụng. Từ đó, nó đã trở thành một cơ sở tri thức giúp tiêu chuẩn hóa an ninh phòng thủ và tất cả các chuyên gia an ninh mạng đều có thể truy cập được.

Bảng 1. Thông tin về ma trận ATT&CK trong chiến dịch của DuckTail