Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báocáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn côngDucktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.
Các nhà nghiên cứu của Kaspersky đã phân tích một chiến dịch gần đây được bắt đầu diễn ra từ tháng 3 đến đầu tháng 10/2023 với mục tiêu vào các doanh nghiệp hoạt động kinh doanh, đặc biệt trong lĩnh vực tiếp thị và quảng cáo. Một tính năng quan trọng của phần mềm độc hại Ducktail khiến nó trở nên khác biệt, không giống như các chiến dịch trước đó dựa trên các ứng dụng .NET, chiến dịch này sử dụng Delphi làm ngôn ngữ lập trình.
Ducktail thường được lưu trữ trên các dịch vụ lưu trữ tệp đám mây công cộng, phân phối dưới dạng tệp lưu trữ chứa phần mềm độc hại cùng với các hình ảnh, tài liệu và video được đặt tên bằng các từ khóa liên quan đến tiếp thị thương hiệu và sản phẩm, nhằm giảm thiểu sự nghi ngờ.
Sau đó, phần mềm độc hại này đánh cắp cookie của trình duyệt và lợi dụng các phiên Facebook đã được xác thực để đánh cắp thông tin cần thiết nhằm chiếm đoạt tài khoản Meta Business mà nạn nhân có thể đã truy cập.
Ducktail và phần mở rộng độc hại
Chiến dịch này cho thấy kẻ tấn công gửi một kho lưu trữ chứa hình ảnh các sản phẩm mới của một số công ty kinh doanh thời trang cùng với một tệp thực thi độc hại được ngụy trang bằng biểu tượng PDF. Phần mềm độc hại sẽ cài đặt một tiện ích mở rộng trên trình duyệt có khả năng đánh cắp các tài khoản quảng cáo và kinh doanh trên Facebook.
Các nhà nghiên cứu của Kaspersky đã kiểm tra một số lượng lớn tài liệu lưu trữ từ chiến dịch mới nhất và cho biết trong mỗi trường hợp, một bản sao của Ducktail được gửi qua email dưới tên của một công ty thời trang lớn.
Hình 1. Nội dung của kho lưu trữ độc hại
Nếu nạn nhân mở các tệp này, chúng sẽ lưu tập lệnh PowerShell có tên param.ps1 và tệp PDF giải mã vào thư mục C:\Users\Public. Tập lệnh sử dụng trình xem PDF mặc định trên thiết bị để mở mồi nhử, tạm dừng trong năm phút và sau đó chấm dứt tiến trình của trình duyệt Chrome.
Trong khi đó, tệp thực thi gốc sẽ lưu thư viện độc hại libEGL.dll vào thư mục C:\Users\Public\Libraries\ rồi tải nó. Khi thực thi, thư viện sẽ xem xét mọi tệp LNK mà nó tìm thấy trong đường dẫn: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\, C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\,… cũng như trên giao diện Desktop, thay đổi chuỗi khởi chạy cho tất cả các trình duyệt dựa trên Chrome (Google Chrome, Edge, Vivaldi, Brave). Một số chuỗi thư viện cần thiết để mã nguồn của Ducktail khởi chạy được mã hóa bằng khóa AES-CBC “gnghfn47n467n43b” và vectơ khởi tạo “dakfhskljh92384h”.
Hình 2. Ducktail sử dụng các chuỗi chứa khóa AES và vectơ khởi tạo trong mã nguồn
Ngoài việc khởi chạy thư viện, tệp gốc còn lưu các tệp mở rộng trình duyệt độc hại vào C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\fjoaledfpmneenckfbpdfhkmimnjocfa.
Tiện ích mở rộng này ngụy trang bằng biểu tượng Google Docs Offline cùng văn bản mô tả. Điều đáng chú ý là các biến thể khác của Ducktail có thể sử dụng các đường dẫn khác nhau để lưu trữ tiện ích mở rộng.
Hình 3. Tiện ích mở rộng độc hại trên Google Chrome (trái) và tiện ích mở rộng thực tế Google Docs Office (phải)
Ngoài ra, tập lệnh ngoại lệ (exception) chính của Ducktail cũng bị xáo trộn, tập lệnh này sẽ liên tục gửi thông tin chi tiết của tất cả các tab trình duyệt đang mở đến máy chủ ra lệnh và kiểm soát (C