Phần mềm độc hại mới DUCKTAIL chuyên xâm nhập tài khoản Facebook Business

09:00 | 23/08/2022 | HACKER / MALWARE

Các nhà nghiên cứu của WithSecure (trước đây là F-Secure có trụ sở tại Phần Lan) tuyên bố rằng họ đã tìm thấy phần mềm độc hại DUCKTAIL nhắm mục tiêu vào người dùng và tổ chức trên nền tảng Facebook Business trong một chiến dịch độc hại mới có động cơ tài chính. Đặc biệt, nhóm nghiên cứu cho rằng nhóm tin tặc gây ra cuộc tấn công này đến từ Việt Nam.

WithSecure tin rằng nhóm tin tặc này đã thăm dò tính năng bảo mật của Facebook trong 3 năm và đã điều chỉnh thành công DUCKTAIL để đối phó với những thay đổi của mạng xã hội này. Nhóm nghiên cứu cũng khẳng định rằng, nhóm tin tặc đến từ Việt Nam đã hoạt động từ năm 2018 và tập trung vào Facebook từ nửa cuối năm 2021 với mục tiêu chính là các cá nhân có vai trò quản lý, tiếp thị kỹ thuật số, truyền thông kỹ thuật số và nhân sự trong các công ty.

Cách thức hoạt động của DUCKTAIL

Báo cáo của WithSecure nêu rõ: “Phần mềm độc hại này được thiết kế để đánh cắp cookie của trình duyệt và lợi dụng các phiên đăng nhập đã xác thực để lấy cắp thông tin từ tài khoản Facebook của nạn nhân và cuối cùng là chiếm đoạt bất kỳ tài khoản Facebook Business nào mà nạn nhân có đủ quyền truy cập. DUCKTAIL được lưu trữ trên các dịch vụ Đám mây như MediaFire, iCloud và Dropbox và phân phối đến các cá nhân được nhắm mục tiêu thông qua LinkedIn vì họ thường có tài khoản doanh nghiệp Facebook".

Phần mềm độc hại mới DUCKTAIL chuyên xâm nhập tài khoản Facebook Business

Phần mềm độc hại DUCKTAIL được lưu trữ trên iCloud

DUCKTAIL được viết bằng nền tảng .NET Core, một tệp nhị phân được thiết kế để sử dụng Telegram để ra lệnh và kiểm soát, đồng thời trích xuất dữ liệu. WithSecure đã xác định được 8 kênh Telegram được sử dụng cho mục đích này.

Nếu nạn nhân mở một liên kết độc hại, DUCKTAIL sẽ quét máy tính bị nhiễm để tìm trình duyệt và trích xuất cookie cho biết các phiên Facebook đã được xác thực để sử dụng, nhằm giành quyền truy cập vào các tài khoản đó. Việc điều khiển DUCKTAIL được xử lý thông qua dịch vụ nhắn tin Telegram, sử dụng hệ thống Telegram Bot và dữ liệu cá nhân cũng được gửi lại cho tin tặc theo cách này.

Cụ thể, các phiên bản mới của DUCKTAIL chạy một vòng lặp vô hạn cho phép liên tục lọc các bản cập nhật và cookie mới từ tài khoản Facebook của nạn nhân để tương tác với nó và tạo ID email với quyền truy cập quản trị. Đó là cách tin tặc có toàn quyền kiểm soát tài khoản và chỉnh sửa thẻ tín dụng doanh nghiệp hoặc các chi tiết tài chính khác như giao dịch, phương thức thanh toán,... Các tài khoản bị tấn công có thể cung cấp cho tin tặc rất nhiều thông tin, bao gồm mã 2FA, địa chỉ IP và vị trí địa lý, chi tiết tài chính và số thẻ tín dụng,…

Cách thức hoạt động của DUCKTAIL

Bảo vệ khỏi phần mềm độc hại DUCKTAIL

Cách tốt nhất để bảo vệ người dùng khỏi phần mềm độc hại DUCKTAIL là cảnh giác khi mở email và tệp đính kèm từ những người gửi không xác định và tránh nhấp vào các liên kết trong email.

Bên cạnh đó, người dùng không truy cập liên kết hoặc tải xuống tệp đính kèm do người dùng ẩn danh gửi thông qua tính năng trò chuyện LinkedIn hoặc Facebook Messenger. Người dùng cũng nên sử dụng mật khẩu mạnh và xác thực hai yếu tố bất cứ khi nào có thể.

Song song, người dùng cần thường xuyên cập nhật thiết bị của mình với các bản cập nhật mới nhất để giảm nguy cơ bị nhiễm DUCKTAIL hay bất kỳ phần mềm độc hại nào khác.

Quốc Trường

‹ › ×

Tin liên quan

Nhóm tin tặc Gallium tấn công mạng bằng mã độc PingPull

08:00 | 23/06/2022

Nhóm tin tặc Gallium được cho là có nguồn gốc từ Trung Quốc đã sử dụng trái phép trojan truy cập từ xa (RAT) để tấn công gián điệp mạng vào các mục tiêu ở Đông Nam Á, Châu Âu và Châu Phi.

Phát hiện Trojan Android đánh cắp hơn 300.000 tài khoản Facebook

14:00 | 09/12/2022

Một chiến dịch đánh cắp tài khoản Facebook vừa được phát hiện với hơn 300.000 tài khoản bị tấn công, chủ yếu tại Việt Nam, Trojan Android này đã giả dạng các ứng dụng giáo dục để thực hiện hành vi đánh cắp thông tin đăng nhập tài khoản Facebook từ các thiết bị bị nhiễm.

Tin tặc chiếm đoạt tài khoản người dùng qua hoạt động lừa đảo WhatsApp OTP

10:00 | 14/06/2022

Rahul Sasi, nhà sáng lập CloudSEK (Ấn Độ) đã đưa ra cảnh báo về hoạt động lừa đảo WhatsApp OTP có thể cho phép tin tặc chiếm đoạt tài khoản người dùng thông qua các cuộc gọi.

Chính phủ Hoa Kỳ yêu cầu đảm bảo an ninh từ các nhà cung cấp phần mềm

09:00 | 13/12/2022

Trung tuần tháng 9, Nhà Trắng thông báo Văn phòng Quản lý và Ngân sách (OMB) đã ban hành hướng dẫn mới với mục đích đảm bảo rằng các cơ quan liên bang chỉ sử dụng phần mềm an toàn. Hướng dẫn có tên “Tăng cường bảo mật của chuỗi cung ứng phần mềm thông qua các thực tiễn phát triển phần mềm an toàn” được xây dựng theo lệnh hành pháp về an ninh mạng do Tổng thống Joe Biden ký vào tháng 5/2021.

Mã độc tấn công nhiều tài khoản Facebook tại Việt Nam

15:00 | 31/08/2023

Mới đây, hệ thống giám sát và cảnh báo mã độc của Bkav đã ghi nhận số lượng máy tính nhiễm mã độc Fabookie tăng đột biến. Bkav cho biết, trong tháng 7/2023, đã có hơn 100.000 máy tính tại Việt Nam bị nhiễm mã độc Fabookie - chuyên đánh cắp tài khoản Facebook Bussiness.

Những ứng dụng cần gỡ để tránh bị đánh cắp mật khẩu Facebook và tiền mã hóa của người dùng

10:00 | 27/05/2022

Nếu đang cài một trong số các ứng dụng dưới đây, người dùng cần ngay lập tức xóa chúng khỏi điện thoại để bảo vệ tài khoản Facebook và tiền mã hóa.

Cách loại bỏ trojan, virus, worm và các phần mềm độc hại

14:00 | 09/12/2022

Phần mềm độc hại đã trở thành khái niệm không còn xa lạ đối với người dùng hiện nay. Tuy nhiên, chúng được phân loại và có cách thức hoạt động khác nhau. Bài viết này hướng dẫn người dùng cách loại bỏ những phần mềm độc hại thuộc dạng virus, trojan, worm.

Tin cùng chuyên mục

Vén màn chiến dịch gián điệp mạng LightSpy

11:00 | 26/04/2024

Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.

Biến thể mới của Trojan ngân hàng Android Chameleon có khả năng vượt qua xác thực sinh trắc học

07:00 | 08/01/2024

Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.