De vietnamesiska hotaktörerna bakom skadlig programvara Ducktail-stealer har kopplats till en ny kampanj som pågick mellan mars och början av oktober 2023, riktad mot marknadsföringsproffs i Indien i syfte att kapa Facebook företagskonton.
"En viktig egenskap som skiljer det åt är att, till skillnad från tidigare kampanjer, som förlitade sig på .NET applikationer, använde den här Delphi som programmeringsspråk", säger Kaspersky i en rapport som publicerades förra veckan.
Ducktail, tillsammans med Duckport och NodeStealer, är en del av ett ekosystem för cyberbrott som verkar från Vietnam, där angriparna främst använder sponsrade annonser på Facebook för att sprida skadliga annonser och distribuera skadlig programvara som kan stjäla offrens inloggningscookies och i slutändan ta kontroll över deras konton.
Sådana attacker pekar i första hand ut användare som kan ha tillgång till ett Facebook Business konto. Bedragarna använder sedan den obehöriga åtkomsten för att lägga ut annonser för ekonomisk vinning, vilket vidmakthåller infektionerna ytterligare.
I kampanjen som dokumenterats av det ryska cybersäkerhetsföretaget skickas potentiella mål som letar efter ett karriärbyte arkivfiler som innehåller en skadlig körbar fil som är förklädd med en PDF ikon för att lura dem att starta binären.
Om du gör det resulterar det i att den skadliga filen sparar ett PowerShell skript med namnet param.ps1 och ett lockbete PDF dokument lokalt i mappen "C:\Users\Public" i Windows.
"Skriptet använder standard-PDF visningen på enheten för att öppna lockbetet, pausar i fem minuter och avslutar sedan Chrome webbläsarprocessen", säger Kaspersky.
Den överordnade körbara filen laddar ner och startar också ett falskt bibliotek med namnet libEGL.dll, som skannar "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" och "C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned \TaskBar\" för alla genvägar (dvs LNK-fil) till en Chromium baserad webbläsare.
Nästa steg innebär att ändra webbläsarens LNK genvägsfil genom att suffixa en "--load-extension" kommandoradsomkopplare för att lansera ett oseriöst tillägg som maskerar sig som det legitima Google Docs Offline tillägget att flyga under radarn.
Tillägget å sin sida är designat för att skicka information om alla öppna flikar till en aktörskontrollerad server registrerad i Vietnam och kapa Facebooks företagskonton.
Google stämmer bedragare för att använda Bard Lures för att sprida skadlig programvara#
Fynden understryker ett strategiskt skifte i Ducktails attacktekniker och kommer när Google lämnade in en stämningsansökan mot tre okända individer i Indien och Vietnam för att ha utnyttjat allmänhetens intresse för generativa AI verktyg som Bard för att sprida skadlig programvara via Facebook och stjäla inloggningsuppgifter för sociala medier.
"Svarade distribuerar länkar till sin skadliga programvara genom inlägg på sociala medier, annonser (dvs sponsrade inlägg) och sidor, som var och en utger sig för att erbjuda nedladdningsbara versioner av Bard eller andra Google AI-produkter", hävdade företaget i sitt klagomål.
"När en användare som är inloggad på ett socialt mediekonto klickar på länkarna som visas i de tilltalades annonser eller på deras sidor, omdirigerar länkarna till en extern webbplats från vilken ett RAR arkiv, en typ av fil, laddas ner till användarens dator."
Arkivfilerna inkluderar en installationsfil som kan installera ett webbläsartillägg som är skickligt på att stjäla offrens sociala mediekonton.
Tidigare i maj sa Meta att de observerade hotaktörer som skapade vilseledande webbläsartillägg tillgängliga i officiella webbbutiker som hävdar att de erbjuder ChatGPT-relaterade verktyg och att de upptäckt och blockerade över 1 000 unika webbadresser från att delas mellan dess tjänster.
Inga kommentarer:
Skicka en kommentar