Các nhà nghiên cứu của Kaspersky đã phân tích một chiến dịch gần đây được bắt đầu diễn ra từ tháng 3 đến đầu tháng 10/2023 với mục tiêu vào các doanh nghiệp hoạt động kinh doanh, đặc biệt trong lĩnh vực tiếp thị và quảng cáo. Một tính năng quan trọng của phần mềm độc hại Ducktail khiến nó trở nên khác biệt, không giống như các chiến dịch trước đó dựa trên các ứng dụng .NET, chiến dịch này sử dụng Delphi làm ngôn ngữ lập trình.
Ducktail thường được lưu trữ trên các dịch vụ lưu trữ tệp đám mây công cộng, phân phối dưới dạng tệp lưu trữ chứa phần mềm độc hại cùng với các hình ảnh, tài liệu và video được đặt tên bằng các từ khóa liên quan đến tiếp thị thương hiệu và sản phẩm, nhằm giảm thiểu sự nghi ngờ.
Sau đó, phần mềm độc hại này đánh cắp cookie của trình duyệt và lợi dụng các phiên Facebook đã được xác thực để đánh cắp thông tin cần thiết nhằm chiếm đoạt tài khoản Meta Business mà nạn nhân có thể đã truy cập.
Ducktail và phần mở rộng độc hại
Chiến dịch này cho thấy kẻ tấn công gửi một kho lưu trữ chứa hình ảnh các sản phẩm mới của một số công ty kinh doanh thời trang cùng với một tệp thực thi độc hại được ngụy trang bằng biểu tượng PDF. Phần mềm độc hại sẽ cài đặt một tiện ích mở rộng trên trình duyệt có khả năng đánh cắp các tài khoản quảng cáo và kinh doanh trên Facebook.
Các nhà nghiên cứu của Kaspersky đã kiểm tra một số lượng lớn tài liệu lưu trữ từ chiến dịch mới nhất và cho biết trong mỗi trường hợp, một bản sao của Ducktail được gửi qua email dưới tên của một công ty thời trang lớn.
Hình 1. Nội dung của kho lưu trữ độc hại
Nếu nạn nhân mở các tệp này, chúng sẽ lưu tập lệnh PowerShell có tên param.ps1 và tệp PDF giải mã vào thư mục C:\Users\Public. Tập lệnh sử dụng trình xem PDF mặc định trên thiết bị để mở mồi nhử, tạm dừng trong năm phút và sau đó chấm dứt tiến trình của trình duyệt Chrome.
Trong khi đó, tệp thực thi gốc sẽ lưu thư viện độc hại libEGL.dll vào thư mục C:\Users\Public\Libraries\ rồi tải nó. Khi thực thi, thư viện sẽ xem xét mọi tệp LNK mà nó tìm thấy trong đường dẫn: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\, C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\,... cũng như trên giao diện Desktop, thay đổi chuỗi khởi chạy cho tất cả các trình duyệt dựa trên Chrome (Google Chrome, Edge, Vivaldi, Brave). Một số chuỗi thư viện cần thiết để mã nguồn của Ducktail khởi chạy được mã hóa bằng khóa AES-CBC “gnghfn47n467n43b” và vectơ khởi tạo “dakfhskljh92384h”.
Hình 2. Ducktail sử dụng các chuỗi chứa khóa AES và vectơ khởi tạo trong mã nguồn
Ngoài việc khởi chạy thư viện, tệp gốc còn lưu các tệp mở rộng trình duyệt độc hại vào C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\fjoaledfpmneenckfbpdfhkmimnjocfa.
Tiện ích mở rộng này ngụy trang bằng biểu tượng Google Docs Offline cùng văn bản mô tả. Điều đáng chú ý là các biến thể khác của Ducktail có thể sử dụng các đường dẫn khác nhau để lưu trữ tiện ích mở rộng.
Hình 3. Tiện ích mở rộng độc hại trên Google Chrome (trái) và tiện ích mở rộng thực tế Google Docs Office (phải)
Ngoài ra, tập lệnh ngoại lệ (exception) chính của Ducktail cũng bị xáo trộn, tập lệnh này sẽ liên tục gửi thông tin chi tiết của tất cả các tab trình duyệt đang mở đến máy chủ ra lệnh và kiểm soát (C&C). Nếu phát hiện các URL liên quan đến Facebook, nó sẽ kiểm tra các quảng cáo và tài khoản doanh nghiệp để đánh cắp chúng.
Đặc biệt, tiện ích mở rộng đánh cắp phiên cookie và thông tin chi tiết về tài khoản mà nạn nhân đăng nhập trên thiết bị. Để bỏ qua xác thực hai yếu tố, tiện ích mở rộng sử dụng các yêu cầu API của Facebook và dịch vụ 2fa[.]live, cung cấp nhiều công cụ hỗ trợ khác nhau để tạo mã truy cập một lần, cùng nhiều tính năng khác.
Đây có thể là cách tin tặc đăng nhập sau khi phiên xác thực của người dùng hết hạn. Thông tin đăng nhập và cookie bị đánh cắp sẽ được chuyển tiếp đến máy chủ C&C được đăng ký tại Việt Nam. Trong chiến dịch này, ngoài tập lệnh chính, phần mềm độc hại sẽ lưu vào thư mục tiện ích mở rộng một tập lệnh có tên jquery-3.3.1.min.js.
Hình 4. Luồng thực thi của tệp độc hại
Phạm vi tấn công DuckTail
Theo Kaspersky, kẻ tấn công thường tấn công người dùng ở Ấn Độ nhất. Bên cạnh đó, hãng bảo mật của Nga cho biết cũng đã ngăn chặn nỗ lực lây nhiễm trên thiết bị của người dùng ở Kazakhstan, Ukraine, Đức, Bồ Đào Nha, Ireland, Hy Lạp, Jordan, Pakistan, Việt Nam, UAE, Mỹ, Peru và Chile.
Ma trận MITER ATT&CK
Nền tảng MITRE ATT&CK (Adversarial Tactics Techniques & Common Knowledge) ra đời vào năm 2013 bởi MITRE (công ty có trụ sở tại Mỹ), với mục đích tạo ra một tài liệu toàn diện về các chiến thuật, kỹ thuật cũng như quy trình mà những kẻ tấn công mạng thường sử dụng. Từ đó, nó đã trở thành một cơ sở tri thức giúp tiêu chuẩn hóa an ninh phòng thủ và tất cả các chuyên gia an ninh mạng đều có thể truy cập được.
Bảng 1. Thông tin về ma trận ATT&CK trong chiến dịch của DuckTail
Kết luận
Ducktail đã hoạt động ít nhất từ tháng 5/2021 và đã ảnh hưởng đến tài khoản người dùng doanh nghiệp Facebook ở Mỹ và hơn 30 quốc gia khác. Hoạt động của nhóm tội phạm mạng tài chính đến từ Việt Nam cho thấy chúng đã liên tục thể hiện khả năng thích ứng trong các chiến lược tấn công của mình. Giờ đây, Ducktail đã sử dụng nền tảng nhắn tin WhatsApp để mở rộng các mục tiêu hơn.
Việc sử dụng ngôn ngữ lập trình Delphi của chiến dịch phần mềm độc hại Ducktail tạo ra thách thức phát hiện cho các nhóm bảo mật, vì các biện pháp bảo vệ chống virus dựa trên chữ ký không phổ biến của Delphi có thể bỏ sót mối đe dọa này. Amelia Buck, nhà phân tích tình báo mối đe dọa tại hãng bảo mật Menlo Security, giải thích: “Để cải thiện khả năng giám sát, các tổ chức nên sử dụng nhiều phân tích dựa trên hành vi và giám sát heuristic hơn để xác định những điểm bất thường cho thấy hoạt động độc hại”.
Bên cạnh đó, bà Buck cho rằng các nhân viên trong các tổ chức nên được đào tạo kỹ năng an toàn cần thiết để phát hiện các kiểu tấn công kỹ nghệ xã hội, đồng thời lưu ý: “Về các chiến thuật lừa đảo qua mạng xã hội, các tệp hình ảnh trông có vẻ hợp pháp của các sản phẩm từ các thương hiệu thời trang nổi tiếng sẽ tạo dựng niềm tin trước khi phân phối các tệp PDF bị nhiễm”.
Hồng Đạt
(Tổng hợp)
14:00 | 09/11/2023
10:00 | 26/10/2023
10:00 | 15/09/2023
13:00 | 20/11/2023
VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.
10:00 | 07/11/2023
Các nhà nghiên cứu tại hãng bảo mật CheckPoint cùng công ty dịch vụ và công nghệ mạng Sygnia đã quan sát và theo dõi một nhóm tin tặc có liên kết với Bộ tình báo và an ninh Iran (MOIS) đang tiến hành một chiến dịch gián điệp mạng tinh vi nhắm vào các lĩnh vực tài chính, chính phủ, quân sự và viễn thông ở khu vực Trung Đông trong khoảng thời gian ít nhất là một năm.
08:00 | 06/11/2023
Nhóm tin tặc đến từ Nga đã khai thác lỗ hổng bảo mật được phát hiện gần đây trong phần mềm WinRAR như một phần của chiến dịch lừa đảo được thiết kế để thu thập thông tin của người dùng từ các hệ thống bị xâm nhập.
12:00 | 25/10/2023
Nhóm tin tặc Lazarus có liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (còn gọi là Hidden Cobra hoặc TEMP.Hermit) đã bị phát hiện sử dụng các phiên bản nhiễm trojan của VNC (Virtual Network Computing) để nhắm mục tiêu vào ngành công nghiệp quốc phòng và các kỹ sư hạt nhân như một phần của chiến dịch APT mang tên Dream Job.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
14:00 | 19/12/2023
