Các nhà nghiên cứu của Kaspersky đã phân tích một chiến dịch gần đây được bắt đầu diễn ra từ tháng 3 đến đầu tháng 10/2023 với mục tiêu vào các doanh nghiệp hoạt động kinh doanh, đặc biệt trong lĩnh vực tiếp thị và quảng cáo. Một tính năng quan trọng của phần mềm độc hại Ducktail khiến nó trở nên khác biệt, không giống như các chiến dịch trước đó dựa trên các ứng dụng .NET, chiến dịch này sử dụng Delphi làm ngôn ngữ lập trình.
Ducktail thường được lưu trữ trên các dịch vụ lưu trữ tệp đám mây công cộng, phân phối dưới dạng tệp lưu trữ chứa phần mềm độc hại cùng với các hình ảnh, tài liệu và video được đặt tên bằng các từ khóa liên quan đến tiếp thị thương hiệu và sản phẩm, nhằm giảm thiểu sự nghi ngờ.
Sau đó, phần mềm độc hại này đánh cắp cookie của trình duyệt và lợi dụng các phiên Facebook đã được xác thực để đánh cắp thông tin cần thiết nhằm chiếm đoạt tài khoản Meta Business mà nạn nhân có thể đã truy cập.
Ducktail và phần mở rộng độc hại
Chiến dịch này cho thấy kẻ tấn công gửi một kho lưu trữ chứa hình ảnh các sản phẩm mới của một số công ty kinh doanh thời trang cùng với một tệp thực thi độc hại được ngụy trang bằng biểu tượng PDF. Phần mềm độc hại sẽ cài đặt một tiện ích mở rộng trên trình duyệt có khả năng đánh cắp các tài khoản quảng cáo và kinh doanh trên Facebook.
Các nhà nghiên cứu của Kaspersky đã kiểm tra một số lượng lớn tài liệu lưu trữ từ chiến dịch mới nhất và cho biết trong mỗi trường hợp, một bản sao của Ducktail được gửi qua email dưới tên của một công ty thời trang lớn.
Hình 1. Nội dung của kho lưu trữ độc hại
Nếu nạn nhân mở các tệp này, chúng sẽ lưu tập lệnh PowerShell có tên param.ps1 và tệp PDF giải mã vào thư mục C:\Users\Public. Tập lệnh sử dụng trình xem PDF mặc định trên thiết bị để mở mồi nhử, tạm dừng trong năm phút và sau đó chấm dứt tiến trình của trình duyệt Chrome.
Trong khi đó, tệp thực thi gốc sẽ lưu thư viện độc hại libEGL.dll vào thư mục C:\Users\Public\Libraries\ rồi tải nó. Khi thực thi, thư viện sẽ xem xét mọi tệp LNK mà nó tìm thấy trong đường dẫn: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\, C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\,... cũng như trên giao diện Desktop, thay đổi chuỗi khởi chạy cho tất cả các trình duyệt dựa trên Chrome (Google Chrome, Edge, Vivaldi, Brave). Một số chuỗi thư viện cần thiết để mã nguồn của Ducktail khởi chạy được mã hóa bằng khóa AES-CBC “gnghfn47n467n43b” và vectơ khởi tạo “dakfhskljh92384h”.
Hình 2. Ducktail sử dụng các chuỗi chứa khóa AES và vectơ khởi tạo trong mã nguồn
Ngoài việc khởi chạy thư viện, tệp gốc còn lưu các tệp mở rộng trình duyệt độc hại vào C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\fjoaledfpmneenckfbpdfhkmimnjocfa.
Tiện ích mở rộng này ngụy trang bằng biểu tượng Google Docs Offline cùng văn bản mô tả. Điều đáng chú ý là các biến thể khác của Ducktail có thể sử dụng các đường dẫn khác nhau để lưu trữ tiện ích mở rộng.
Hình 3. Tiện ích mở rộng độc hại trên Google Chrome (trái) và tiện ích mở rộng thực tế Google Docs Office (phải)
Ngoài ra, tập lệnh ngoại lệ (exception) chính của Ducktail cũng bị xáo trộn, tập lệnh này sẽ liên tục gửi thông tin chi tiết của tất cả các tab trình duyệt đang mở đến máy chủ ra lệnh và kiểm soát (C&C). Nếu phát hiện các URL liên quan đến Facebook, nó sẽ kiểm tra các quảng cáo và tài khoản doanh nghiệp để đánh cắp chúng.
Đặc biệt, tiện ích mở rộng đánh cắp phiên cookie và thông tin chi tiết về tài khoản mà nạn nhân đăng nhập trên thiết bị. Để bỏ qua xác thực hai yếu tố, tiện ích mở rộng sử dụng các yêu cầu API của Facebook và dịch vụ 2fa[.]live, cung cấp nhiều công cụ hỗ trợ khác nhau để tạo mã truy cập một lần, cùng nhiều tính năng khác.
Đây có thể là cách tin tặc đăng nhập sau khi phiên xác thực của người dùng hết hạn. Thông tin đăng nhập và cookie bị đánh cắp sẽ được chuyển tiếp đến máy chủ C&C được đăng ký tại Việt Nam. Trong chiến dịch này, ngoài tập lệnh chính, phần mềm độc hại sẽ lưu vào thư mục tiện ích mở rộng một tập lệnh có tên jquery-3.3.1.min.js.
Hình 4. Luồng thực thi của tệp độc hại
Phạm vi tấn công DuckTail
Theo Kaspersky, kẻ tấn công thường tấn công người dùng ở Ấn Độ nhất. Bên cạnh đó, hãng bảo mật của Nga cho biết cũng đã ngăn chặn nỗ lực lây nhiễm trên thiết bị của người dùng ở Kazakhstan, Ukraine, Đức, Bồ Đào Nha, Ireland, Hy Lạp, Jordan, Pakistan, Việt Nam, UAE, Mỹ, Peru và Chile.
Ma trận MITER ATT&CK
Nền tảng MITRE ATT&CK (Adversarial Tactics Techniques & Common Knowledge) ra đời vào năm 2013 bởi MITRE (công ty có trụ sở tại Mỹ), với mục đích tạo ra một tài liệu toàn diện về các chiến thuật, kỹ thuật cũng như quy trình mà những kẻ tấn công mạng thường sử dụng. Từ đó, nó đã trở thành một cơ sở tri thức giúp tiêu chuẩn hóa an ninh phòng thủ và tất cả các chuyên gia an ninh mạng đều có thể truy cập được.
Bảng 1. Thông tin về ma trận ATT&CK trong chiến dịch của DuckTail
Kết luận
Ducktail đã hoạt động ít nhất từ tháng 5/2021 và đã ảnh hưởng đến tài khoản người dùng doanh nghiệp Facebook ở Mỹ và hơn 30 quốc gia khác. Hoạt động của nhóm tội phạm mạng tài chính đến từ Việt Nam cho thấy chúng đã liên tục thể hiện khả năng thích ứng trong các chiến lược tấn công của mình. Giờ đây, Ducktail đã sử dụng nền tảng nhắn tin WhatsApp để mở rộng các mục tiêu hơn.
Việc sử dụng ngôn ngữ lập trình Delphi của chiến dịch phần mềm độc hại Ducktail tạo ra thách thức phát hiện cho các nhóm bảo mật, vì các biện pháp bảo vệ chống virus dựa trên chữ ký không phổ biến của Delphi có thể bỏ sót mối đe dọa này. Amelia Buck, nhà phân tích tình báo mối đe dọa tại hãng bảo mật Menlo Security, giải thích: “Để cải thiện khả năng giám sát, các tổ chức nên sử dụng nhiều phân tích dựa trên hành vi và giám sát heuristic hơn để xác định những điểm bất thường cho thấy hoạt động độc hại”.
Bên cạnh đó, bà Buck cho rằng các nhân viên trong các tổ chức nên được đào tạo kỹ năng an toàn cần thiết để phát hiện các kiểu tấn công kỹ nghệ xã hội, đồng thời lưu ý: “Về các chiến thuật lừa đảo qua mạng xã hội, các tệp hình ảnh trông có vẻ hợp pháp của các sản phẩm từ các thương hiệu thời trang nổi tiếng sẽ tạo dựng niềm tin trước khi phân phối các tệp PDF bị nhiễm”.
Hồng Đạt
(Tổng hợp)
14:00 | 09/11/2023
10:00 | 26/10/2023
10:00 | 15/09/2023
13:00 | 09/10/2024
Công ty bảo mật và cơ sở hạ tầng web - Cloudflare tiết lộ rằng họ đã ngăn chặn được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây. Trong tháng 9, công ty này đã ngăn chặn hơn 100 cuộc tấn công DDoS L3/4 siêu lớn, trong đó nhiều cuộc tấn công đã vượt mốc 2 tỷ gói tin mỗi giây (Bpps) và 3 Tbps.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
07:00 | 10/09/2024
Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, Việt Nam đang trở thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng tinh vi. Các doanh nghiệp Việt từ các tổ chức nhỏ đến các tập đoàn lớn đều phải đối mặt với nguy cơ bị tấn công qua những lỗ hổng bảo mật trong hệ thống của đối tác hay nhà cung cấp.
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024