Kaspersky cho biết trong một báo cáo được công bố vào tuần trước: “Một tính năng quan trọng khiến nó trở nên khác biệt là, không giống như các chiến dịch trước đó dựa trên ứng dụng .NET, chiến dịch này sử dụng Delphi làm ngôn ngữ lập trình”.
Ducktail, cùng với Duckport và NodeStealer, là một phần của hệ sinh thái tội phạm mạng hoạt động ở Việt Nam, trong đó những kẻ tấn công chủ yếu sử dụng quảng cáo được tài trợ trên Facebook để truyền bá quảng cáo độc hại và triển khai phần mềm độc hại có khả năng đánh cắp cookie đăng nhập của nạn nhân và cuối cùng chiếm quyền kiểm soát tài khoản của họ.
Các cuộc tấn công như vậy chủ yếu nhắm vào những người dùng có thể có quyền truy cập vào tài khoản Facebook Business. Sau đó, những kẻ lừa đảo sử dụng quyền truy cập trái phép để đặt quảng cáo nhằm thu lợi tài chính, khiến tình trạng lây nhiễm tiếp tục kéo dài.
Trong chiến dịch do công ty an ninh mạng Nga ghi lại, các mục tiêu tiềm năng đang tìm kiếm sự thay đổi nghề nghiệp sẽ được gửi các tệp lưu trữ chứa tệp thực thi độc hại được ngụy trang bằng biểu tượng PDF để lừa họ khởi chạy tệp nhị phân.
Làm như vậy sẽ khiến tệp độc hại lưu tập lệnh PowerShell có tên param.ps1 và tài liệu PDF giả vào thư mục "C:\Users\Public" trong Windows.
Kaspersky cho biết: “Tập lệnh sử dụng trình xem PDF mặc định trên thiết bị để mở mồi nhử, tạm dừng trong 5 phút và sau đó chấm dứt quá trình trình duyệt Chrome”.
Tệp thực thi gốc cũng tải xuống và khởi chạy một thư viện giả mạo có tên libEGL.dll, thư viện này sẽ quét "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" và "C:\ProgramData\Microsoft\InternetExplorer\Quick Launch\User Pinned \TaskBar\" cho bất kỳ lối tắt nào (tức là tệp LNK) tới trình duyệt web dựa trên Chrome.
.jpeg)
Giai đoạn tiếp theo bao gồm việc thay đổi tệp lối tắt LNK của trình duyệt bằng cách thêm hậu tố dòng lệnh "--load-extension" để khởi chạy một tiện ích mở rộng lừa đảo giả dạng tiện ích bổ sung Google Docs ngoại tuyến hợp pháp để ẩn nấp.
Về phần mình, tiện ích mở rộng này được thiết kế để gửi thông tin về tất cả các tab đang mở đến máy chủ do tác nhân kiểm soát đã đăng ký tại Việt Nam và chiếm đoạt các tài khoản doanh nghiệp trên Facebook.
Google kiện những kẻ lừa đảo vì sử dụng mồi nhử Bard để phát tán phần mềm độc hại
Những phát hiện này nhấn mạnh sự thay đổi chiến lược trong kỹ thuật tấn công của Ducktail và xảy ra khi Google đệ đơn kiện ba cá nhân không rõ danh tính ở Ấn Độ và Việt Nam vì lợi dụng sự quan tâm của công chúng đối với các công cụ AI sáng tạo như Bard để phát tán phần mềm độc hại qua Facebook và ăn cắp thông tin đăng nhập mạng xã hội.
Google đã cáo buộc trong đơn khiếu nại các cá nhân phân phối liên kết đến phần mềm độc hại của họ thông qua các bài đăng trên mạng xã hội, quảng cáo (tức là các bài đăng được tài trợ) và các trang, mỗi trang đều có mục đích cung cấp các phiên bản có thể tải xuống của Bard hoặc các sản phẩm AI khác của Google. Khi người dùng đăng nhập vào tài khoản mạng xã hội nhấp vào các liên kết được hiển thị trong quảng cáo, các liên kết sẽ chuyển hướng đến một trang web bên ngoài mà từ đó kho lưu trữ RAR, một loại tệp, tải xuống máy tính của người dùng.
Các tệp lưu trữ bao gồm một tệp cài đặt có khả năng cài đặt tiện ích mở rộng trình duyệt có khả năng đánh cắp tài khoản mạng xã hội của nạn nhân.
https://thehackernews.com/2023/11/vietnamese-hackers-using-new-delphi.html
