Các nhà nghiên cứu của Kaspersky đã phân tích một chiến dịch gần đây được bắt đầu diễn ra từ tháng 3 đến đầu tháng 10/2023 với mục tiêu vào các doanh nghiệp hoạt động kinh doanh, đặc biệt trong lĩnh vực tiếp thị và quảng cáo. Một tính năng quan trọng của phần mềm độc hại Ducktail khiến nó trở nên khác biệt, không giống như các chiến dịch trước đó dựa trên các ứng dụng .NET, chiến dịch này sử dụng Delphi làm ngôn ngữ lập trình.
Ducktail thường được lưu trữ trên các dịch vụ lưu trữ tệp đám mây công cộng, phân phối dưới dạng tệp lưu trữ chứa phần mềm độc hại cùng với các hình ảnh, tài liệu và video được đặt tên bằng các từ khóa liên quan đến tiếp thị thương hiệu và sản phẩm, nhằm giảm thiểu sự nghi ngờ.
Sau đó, phần mềm độc hại này đánh cắp cookie của trình duyệt và lợi dụng các phiên Facebook đã được xác thực để đánh cắp thông tin cần thiết nhằm chiếm đoạt tài khoản Meta Business mà nạn nhân có thể đã truy cập.
Ducktail và phần mở rộng độc hại
Chiến dịch này cho thấy kẻ tấn công gửi một kho lưu trữ chứa hình ảnh các sản phẩm mới của một số công ty kinh doanh thời trang cùng với một tệp thực thi độc hại được ngụy trang bằng biểu tượng PDF. Phần mềm độc hại sẽ cài đặt một tiện ích mở rộng trên trình duyệt có khả năng đánh cắp các tài khoản quảng cáo và kinh doanh trên Facebook.
Các nhà nghiên cứu của Kaspersky đã kiểm tra một số lượng lớn tài liệu lưu trữ từ chiến dịch mới nhất và cho biết trong mỗi trường hợp, một bản sao của Ducktail được gửi qua email dưới tên của một công ty thời trang lớn.
Hình 1. Nội dung của kho lưu trữ độc hại
Nếu nạn nhân mở các tệp này, chúng sẽ lưu tập lệnh PowerShell có tên param.ps1 và tệp PDF giải mã vào thư mục C:\Users\Public. Tập lệnh sử dụng trình xem PDF mặc định trên thiết bị để mở mồi nhử, tạm dừng trong năm phút và sau đó chấm dứt tiến trình của trình duyệt Chrome.
Trong khi đó, tệp thực thi gốc sẽ lưu thư viện độc hại libEGL.dll vào thư mục C:\Users\Public\Libraries\ rồi tải nó. Khi thực thi, thư viện sẽ xem xét mọi tệp LNK mà nó tìm thấy trong đường dẫn: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\, C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\,... cũng như trên giao diện Desktop, thay đổi chuỗi khởi chạy cho tất cả các trình duyệt dựa trên Chrome (Google Chrome, Edge, Vivaldi, Brave). Một số chuỗi thư viện cần thiết để mã nguồn của Ducktail khởi chạy được mã hóa bằng khóa AES-CBC “gnghfn47n467n43b” và vectơ khởi tạo “dakfhskljh92384h”.
Hình 2. Ducktail sử dụng các chuỗi chứa khóa AES và vectơ khởi tạo trong mã nguồn
Ngoài việc khởi chạy thư viện, tệp gốc còn lưu các tệp mở rộng trình duyệt độc hại vào C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\fjoaledfpmneenckfbpdfhkmimnjocfa.
Tiện ích mở rộng này ngụy trang bằng biểu tượng Google Docs Offline cùng văn bản mô tả. Điều đáng chú ý là các biến thể khác của Ducktail có thể sử dụng các đường dẫn khác nhau để lưu trữ tiện ích mở rộng.
Hình 3. Tiện ích mở rộng độc hại trên Google Chrome (trái) và tiện ích mở rộng thực tế Google Docs Office (phải)
Ngoài ra, tập lệnh ngoại lệ (exception) chính của Ducktail cũng bị xáo trộn, tập lệnh này sẽ liên tục gửi thông tin chi tiết của tất cả các tab trình duyệt đang mở đến máy chủ ra lệnh và kiểm soát (C&C). Nếu phát hiện các URL liên quan đến Facebook, nó sẽ kiểm tra các quảng cáo và tài khoản doanh nghiệp để đánh cắp chúng.
Đặc biệt, tiện ích mở rộng đánh cắp phiên cookie và thông tin chi tiết về tài khoản mà nạn nhân đăng nhập trên thiết bị. Để bỏ qua xác thực hai yếu tố, tiện ích mở rộng sử dụng các yêu cầu API của Facebook và dịch vụ 2fa[.]live, cung cấp nhiều công cụ hỗ trợ khác nhau để tạo mã truy cập một lần, cùng nhiều tính năng khác.
Đây có thể là cách tin tặc đăng nhập sau khi phiên xác thực của người dùng hết hạn. Thông tin đăng nhập và cookie bị đánh cắp sẽ được chuyển tiếp đến máy chủ C&C được đăng ký tại Việt Nam. Trong chiến dịch này, ngoài tập lệnh chính, phần mềm độc hại sẽ lưu vào thư mục tiện ích mở rộng một tập lệnh có tên jquery-3.3.1.min.js.
Hình 4. Luồng thực thi của tệp độc hại
Phạm vi tấn công DuckTail
Theo Kaspersky, kẻ tấn công thường tấn công người dùng ở Ấn Độ nhất. Bên cạnh đó, hãng bảo mật của Nga cho biết cũng đã ngăn chặn nỗ lực lây nhiễm trên thiết bị của người dùng ở Kazakhstan, Ukraine, Đức, Bồ Đào Nha, Ireland, Hy Lạp, Jordan, Pakistan, Việt Nam, UAE, Mỹ, Peru và Chile.
Ma trận MITER ATT&CK
Nền tảng MITRE ATT&CK (Adversarial Tactics Techniques & Common Knowledge) ra đời vào năm 2013 bởi MITRE (công ty có trụ sở tại Mỹ), với mục đích tạo ra một tài liệu toàn diện về các chiến thuật, kỹ thuật cũng như quy trình mà những kẻ tấn công mạng thường sử dụng. Từ đó, nó đã trở thành một cơ sở tri thức giúp tiêu chuẩn hóa an ninh phòng thủ và tất cả các chuyên gia an ninh mạng đều có thể truy cập được.
Bảng 1. Thông tin về ma trận ATT&CK trong chiến dịch của DuckTail
Kết luận
Ducktail đã hoạt động ít nhất từ tháng 5/2021 và đã ảnh hưởng đến tài khoản người dùng doanh nghiệp Facebook ở Mỹ và hơn 30 quốc gia khác. Hoạt động của nhóm tội phạm mạng tài chính đến từ Việt Nam cho thấy chúng đã liên tục thể hiện khả năng thích ứng trong các chiến lược tấn công của mình. Giờ đây, Ducktail đã sử dụng nền tảng nhắn tin WhatsApp để mở rộng các mục tiêu hơn.
Việc sử dụng ngôn ngữ lập trình Delphi của chiến dịch phần mềm độc hại Ducktail tạo ra thách thức phát hiện cho các nhóm bảo mật, vì các biện pháp bảo vệ chống virus dựa trên chữ ký không phổ biến của Delphi có thể bỏ sót mối đe dọa này. Amelia Buck, nhà phân tích tình báo mối đe dọa tại hãng bảo mật Menlo Security, giải thích: “Để cải thiện khả năng giám sát, các tổ chức nên sử dụng nhiều phân tích dựa trên hành vi và giám sát heuristic hơn để xác định những điểm bất thường cho thấy hoạt động độc hại”.
Bên cạnh đó, bà Buck cho rằng các nhân viên trong các tổ chức nên được đào tạo kỹ năng an toàn cần thiết để phát hiện các kiểu tấn công kỹ nghệ xã hội, đồng thời lưu ý: “Về các chiến thuật lừa đảo qua mạng xã hội, các tệp hình ảnh trông có vẻ hợp pháp của các sản phẩm từ các thương hiệu thời trang nổi tiếng sẽ tạo dựng niềm tin trước khi phân phối các tệp PDF bị nhiễm”.
Hồng Đạt
(Tổng hợp)
14:00 | 09/11/2023
10:00 | 26/10/2023
10:00 | 15/09/2023
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
