Ducktail 竊取惡意軟件背后的越南威脅行為者與 2023 年 3 月至 10 月初開展的一項新活動有關,該活動針對印度的營銷專業人士,旨在劫持 Facebook 企業帳戶。

卡巴斯基在上周發布的一份報告中表示,“它與眾不同的一個重要特點是,與之前依賴 .NET 應用程序的活動不同,這次活動使用 Delphi 作為編程語言。”

DucktailDuckportNodeStealer一樣,都是在越南運營的網絡犯罪生態系統的一部分,攻擊者主要使用 Facebook 上的贊助廣告來傳播惡意廣告并部署能夠掠奪受害者登錄 cookie 并最終控制其帳戶的惡意軟件

此類攻擊主要針對可能有權訪問 Facebook Business 帳戶的用戶。然后,欺詐者利用未經授權的訪問來投放廣告以獲取經濟利益,從而進一步加劇感染。

在俄羅斯網絡安全公司記錄的活動中,尋求職業轉變的潛在目標會收到包含惡意可執行文件的存檔文件,該惡意可執行文件偽裝成 PDF 圖標,以誘騙他們啟動二進制文件。

這樣做會導致惡意文件將名為 param.ps1 的 PowerShell 腳本和一個誘餌 PDF 文檔本地保存到 Windows 中的“C:\Users\Public”文件夾中。

卡巴斯基表示:“該腳本使用設備上的默認 PDF 查看器打開誘餌,暫停五分鐘,然后終止 Chrome 瀏覽器進程。”

父可執行文件還會下載并啟動名為 libEGL.dll 的惡意庫,該庫會掃描“C:\ProgramData\Microsoft\Windows\Start Menu\Programs”和“C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned” \TaskBar\” 文件夾,用于存放基于 Chromium 的 Web 瀏覽器的任何快捷方式(即 LNK 文件)。

軟件 黑客 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接