Gli hacker vietnamiti, noti per il malware ‘Ducktail’, hanno lanciato una nuova campagna di attacchi informatici tra marzo e ottobre 2023, prendendo di mira i professionisti del marketing in India con l’obiettivo di dirottare gli account aziendali di Facebook. Questa campagna segna un cambiamento nelle tecniche di attacco, passando dalle applicazioni .NET a quelle scritte in Delphi, come riportato da Kaspersky.
Cambiamento nella tecnica di attacco
A differenza delle precedenti campagne, questa volta gli attaccanti hanno utilizzato Delphi come linguaggio di programmazione. ‘Ducktail’, insieme a ‘Duckport’ e ‘NodeStealer’, fa parte di un ecosistema di cybercrime operante dal Vietnam. Gli attaccanti utilizzano principalmente annunci sponsorizzati su Facebook per diffondere annunci malevoli e distribuire malware in grado di rubare i cookie di login delle vittime e prendere il controllo dei loro account.
Gli attacchi si concentrano principalmente sugli utenti che potrebbero avere accesso a un account aziendale di Facebook. I truffatori utilizzano poi l’accesso non autorizzato per pubblicare annunci a scopo di lucro, perpetuando ulteriormente le infezioni.
Il Processo dell’Attacco
Nella campagna documentata da Kaspersky, i potenziali bersagli in cerca di un cambio di carriera ricevono file di archivio contenenti un eseguibile malevolo, mascherato con un’icona PDF per ingannarli nell’avviare il binario. Questo comporta il salvataggio di uno script PowerShell denominato ‘param.ps1’ e un documento PDF fittizio nella cartella “C:\Users\Public” di Windows.
Lo script utilizza il visualizzatore PDF predefinito sul dispositivo per aprire il PDF fittizio, si mette in pausa per cinque minuti e poi termina il processo del browser Chrome. L’eseguibile principale scarica e avvia anche una libreria canaglia denominata ‘libEGL.dll’, che scandisce le cartelle di Windows alla ricerca di collegamenti a un browser web basato su Chromium.
La fase successiva prevede la modifica del file di collegamento del browser, aggiungendo un comando ” –load-extension ” per lanciare un’estensione canaglia che si maschera come l’add-on legittimo ‘Google Docs Offline’ per passare inosservata. L’estensione è progettata per inviare informazioni su tutte le schede aperte a un server controllato dagli attori e dirottare gli account aziendali di Facebook.
Google contro i truffatori
Questi sviluppi sottolineano un cambiamento strategico nelle tecniche di attacco di Ducktail e arrivano mentre Google ha intentato una causa contro tre individui sconosciuti in India e Vietnam per aver sfruttato l’interesse pubblico negli strumenti di intelligenza artificiale generativa come Bard per diffondere malware tramite Facebook e rubare credenziali di accesso ai social media.
.