Ducktail hırsızlığı yapan kötü amaçlı yazılımın arkasındaki Vietnamlı tehdit aktörleri, Facebook işletme hesaplarını ele geçirmek amacıyla Hindistan’daki pazarlama profesyonellerini hedef alan, Mart ayından Ekim 2023’ün başına kadar süren yeni bir kampanyayla ilişkilendirildi.
Kaspersky, “Onu farklı kılan önemli bir özellik, .NET uygulamalarına dayanan önceki kampanyalardan farklı olarak bu kampanyada programlama dili olarak Delphi’nin kullanılmış olmasıdır.” söz konusu Geçen hafta yayınlanan bir raporda.
Ördek kuyruğuDuckport ve NodeStealer’ın yanı sıra, Vietnam’da faaliyet gösteren bir siber suç ekosisteminin parçası olan saldırganlar, kötü amaçlı reklamları yaymak ve kurbanların oturum açma çerezlerini yağmalayabilecek ve sonuçta hesaplarının kontrolünü ele geçirebilecek kötü amaçlı yazılımları dağıtmak için öncelikli olarak Facebook’taki sponsorlu reklamları kullanıyor.
Bu tür saldırılar öncelikle bir Facebook Business hesabına erişimi olabilecek kullanıcıları hedef alır. Dolandırıcılar daha sonra yetkisiz erişimi mali kazanç elde etmek amacıyla reklam yayınlamak için kullanır ve bu da enfeksiyonların daha da yaygınlaşmasına neden olur.
Rus siber güvenlik firması tarafından belgelenen kampanyada, kariyer değişikliği arayan potansiyel hedeflere, ikili dosyayı başlatmaları için onları kandırmak amacıyla PDF simgesiyle gizlenmiş kötü amaçlı bir yürütülebilir dosya içeren arşiv dosyaları gönderiliyor.
Bunu yapmak, kötü amaçlı dosyanın param.ps1 adlı bir PowerShell komut dosyasını ve sahte bir PDF belgesini yerel olarak Windows’taki “C:UsersPublic” klasörüne kaydetmesine neden olur.
Kaspersky, “Komut dosyası, tuzağı açmak için cihazdaki varsayılan PDF görüntüleyiciyi kullanıyor, beş dakika duraklatıyor ve ardından Chrome tarayıcı işlemini sonlandırıyor.” dedi.
Ana yürütülebilir dosya ayrıca “C:ProgramDataMicrosoftWindowsStart MenuPrograms” ve “C:ProgramDataMicrosoftInternet ExplorerQuick LaunchUser Pinned” dosyalarını tarayan libEGL.dll adlı sahte kitaplığı indirir ve başlatır. Chromium tabanlı bir web tarayıcısına yönelik herhangi bir kısayol (örn. LNK dosyası) için TaskBar” klasörlerini kullanın.
Bir sonraki aşama, meşru gibi görünen hileli bir uzantı başlatmak için tarayıcının LNK kısayol dosyasının sonuna “–load-extension” komut satırı anahtarı ekleyerek değiştirmeyi gerektirir. Google Dokümanlar Çevrimdışı eklentisi radarın altından uçmak.
Uzantı, tüm açık sekmelerle ilgili bilgileri Vietnam’da kayıtlı aktör kontrollü bir sunucuya göndermek ve Facebook işletme hesaplarını ele geçirmek için tasarlandı.
Google, Kötü Amaçlı Yazılım Yaymak İçin Bard Lures Kullanan Dolandırıcılara Dava Açtı
Bulgular Ducktail’in saldırı tekniklerinde stratejik bir değişimin altını çiziyor ve Google’ın bir dava açtı Hindistan ve Vietnam’da, Facebook aracılığıyla kötü amaçlı yazılım yaymak ve sosyal medyada oturum açma bilgilerini çalmak için Bard gibi halkın üretken yapay zeka araçlarına olan ilgisinden yararlandıkları için Hindistan ve Vietnam’da kimliği bilinmeyen üç kişiye karşı dava açıldı.
“Sanıklar, kötü amaçlı yazılımlarının bağlantılarını sosyal medya paylaşımları, reklamlar (ör. sponsorlu gönderiler) ve her biri Bard’ın veya diğer Google AI ürünlerinin indirilebilir sürümlerini sunduğunu iddia eden sayfalar.” şirket iddia edilen şikayetinde.
“Bir sosyal medya hesabına giriş yapan bir kullanıcı, Sanıkların reklamlarında veya sayfalarında görüntülenen bağlantıları tıkladığında, bağlantılar, bir tür dosya olan RAR arşivinin kullanıcının bilgisayarına indirildiği harici bir web sitesine yönlendiriyor.”
Arşiv dosyaları, kurbanların sosyal medya hesaplarını çalma konusunda uzman bir tarayıcı uzantısı yükleme kapasitesine sahip bir yükleyici dosyası içeriyor.
Bu Mayıs ayının başlarında Meta, tehdit aktörlerinin ChatGPT ile ilgili araçlar sunduğunu iddia eden resmi web mağazalarında bulunan yanıltıcı tarayıcı uzantıları oluşturduğunu gözlemlediğini ve 1.000’den fazla benzersiz URL’yi tespit edip hizmetleri genelinde paylaşılmasını engellediğini söyledi.