Os agentes vietnamitas de ameaças, responsáveis pelo malware Ducktail, foram associados a uma nova campanha realizada entre março e início de outubro de 2023, cujo alvo eram profissionais de marketing na Índia, com a intenção de sequestrar contas comerciais do Facebook.
"Uma característica importante que a distingue é que, diferentemente de campanhas anteriores que confiavam em aplicativos .NET, esta usou Delphi como linguagem de programação", disse Kaspersky em um relatório publicado na semana passada.
O Ducktail, juntamente com o Duckport e o NodeStealer, faz parte de um ecossistema de crimes cibernéticos sediado no Vietnã.
Os atacantes costumam utilizar anúncios patrocinados no Facebook para propagar anúncios maliciosos e implantar malwares capazes de saquear os cookies de login das vítimas e, por fim, tomar o controle de suas contas.
Tais ataques visam principalmente usuários que possam ter acesso a uma conta comercial do Facebook.
Os fraudadores então usam o acesso não autorizado para colocar anúncios para obter ganhos financeiros, perpetuando ainda mais as infecções.
Na campanha documentada pela firma de segurança cibernética russa, possíveis alvos em busca de uma mudança de carreira são enviados arquivos de arquivamento contendo um executável malicioso, disfarçado com um ícone de PDF para induzi-los a iniciar o binário.
Ao fazer isso, o arquivo malicioso salva localmente um script do PowerShell chamado param.ps1 e um documento PDF camuflado na pasta "C:\Users\Public" do Windows.
"O script usa o visualizador PDF padrão no dispositivo para abrir o disfarce, faz uma pausa por cinco minutos e, em seguida, encerra o processo do navegador Chrome", disse a Kaspersky.
O executável principal também baixa e inicia uma biblioteca desonesto chamada libEGL.dll, que verifica as pastas "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" e "C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\" para verificar atalhos (ou seja, arquivo LNK) para um navegador baseado em Chromium.
A próxima etapa envolve a alteração do arquivo de atalho LNK do navegador, acrescentando um comando de linha "--load-extension" para iniciar uma extensão desonesta que se mascara como o complemento legítimo do Google Docs Offline para passar despercebida.
A extensão, por sua vez, é projetada para enviar informações sobre todas as abas abertas para um servidor controlado pelo agente no Vietnã e sequestrar contas comerciais do Facebook.
As descobertas destacam uma mudança estratégica nas técnicas de ataque do Ducktail e ocorrem justamente quando o Google apresentou um processo contra três indivíduos desconhecidos na Índia e no Vietnã, que estão se aproveitando do interesse do público em ferramentas de IA gerativas, como o Bard, para disseminar malware via Facebook e roubar credenciais de login de redes sociais.
"Os réus distribuem links para seus malwares por meio de publicações em redes sociais, anúncios (ou seja, posts patrocinados) e páginas, cada um deles alegando oferecer versões para download do Bard ou outros produtos de IA do Google", alegou a empresa em sua queixa.
"Quando um usuário conectado a uma conta de rede social clica nos links exibidos nas publicidades dos réus ou em suas páginas, os links redirecionam para um site externo, de onde um arquivo RAR, um tipo de arquivo, é baixado para o computador do usuário."
Os arquivos de arquivos incluem um arquivo de instalação que é capaz de instalar uma extensão de navegador adepta à pilhagem das contas de redes sociais das vítimas.
No início de maio deste ano, o Meta afirmou que observou atores de ameaças criando extensões de navegador enganosas disponíveis em lojas oficiais da web que alegam oferecer ferramentas relacionadas ao ChatGPT e que detectou e bloqueou mais de 1.000 URLs únicos sendo compartilhados em seus serviços.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...