Los actores de amenazas vietnamitas detrás del malware ladrón Ducktail han sido vinculados a una nueva campaña que se llevó a cabo entre marzo y principios de octubre de 2023, dirigida a profesionales de marketing en India con el objetivo de secuestrar cuentas comerciales de Facebook.
«Una característica importante que la distingue es que, a diferencia de campañas anteriores, que se basaban en aplicaciones .NET, esta utilizó Delphi como lenguaje de programación», Kaspersky dicho en un informe publicado la semana pasada.
Cola de patojunto con Duckport y NodeStealer, es parte de un ecosistema de cibercrimen que opera desde Vietnam, en el que los atacantes utilizan principalmente anuncios patrocinados en Facebook para propagar anuncios maliciosos y desplegar malware capaz de saquear las cookies de inicio de sesión de las víctimas y, en última instancia, tomar el control de sus cuentas.
Estos ataques señalan principalmente a los usuarios que pueden tener acceso a una cuenta comercial de Facebook. Luego, los estafadores utilizan el acceso no autorizado para colocar anuncios con fines de lucro, perpetuando aún más las infecciones.
En la campaña documentada por la firma rusa de ciberseguridad, a los objetivos potenciales que buscan un cambio de carrera se les envían archivos que contienen un ejecutable malicioso disfrazado con un ícono de PDF para engañarlos y ejecutar el binario.
Al hacerlo, el archivo malicioso guarda un script de PowerShell llamado param.ps1 y un documento PDF señuelo localmente en la carpeta «C:UsersPublic» de Windows.
«El script utiliza el visor de PDF predeterminado en el dispositivo para abrir el señuelo, hace una pausa de cinco minutos y luego finaliza el proceso del navegador Chrome», dijo Kaspersky.
El ejecutable principal también descarga e inicia una biblioteca fraudulenta llamada libEGL.dll, que escanea «C:ProgramDataMicrosoftWindowsStart MenuPrograms» y «C:ProgramDataMicrosoftInternet ExplorerQuick LaunchUser Pinned Carpetas TaskBar» para cualquier acceso directo (es decir, archivo LNK) a un navegador web basado en Chromium.
La siguiente etapa implica alterar el archivo de acceso directo LNK del navegador añadiendo un sufijo en la línea de comando «–load-extension» para iniciar una extensión maliciosa que se hace pasar por la legítima. Complemento de Google Docs sin conexión volar bajo el radar.
La extensión, por su parte, está diseñada para enviar información sobre todas las pestañas abiertas a un servidor controlado por un actor registrado en Vietnam y secuestrar las cuentas comerciales de Facebook.
Google demanda a estafadores por utilizar señuelos Bard para difundir malware
Los hallazgos subrayan un cambio estratégico en las técnicas de ataque de Ducktail y surgen cuando Google presentó una demanda contra tres individuos desconocidos en India y Vietnam por capitalizar el interés del público en herramientas de inteligencia artificial generativa como Bard para difundir malware a través de Facebook y robar credenciales de inicio de sesión en redes sociales.
«Los demandados distribuyen enlaces a su malware a través de publicaciones en redes sociales, anuncios (es decir, patrocinado publicaciones), y páginas, cada una de las cuales pretende ofrecer versiones descargables de Bard u otros productos de inteligencia artificial de Google», la compañía presunto en su denuncia.
«Cuando un usuario que inició sesión en una cuenta de redes sociales hace clic en los enlaces que se muestran en los anuncios de los demandados o en sus páginas, los enlaces redirigen a un sitio web externo desde el cual se descarga un archivo RAR, un tipo de archivo, en la computadora del usuario».
Los archivos de almacenamiento incluyen un archivo de instalación que es capaz de instalar una extensión de navegador experta en robar las cuentas de redes sociales de las víctimas.
A principios de mayo, Meta dijo que observó actores de amenazas que creaban extensiones de navegador engañosas disponibles en tiendas web oficiales que afirman ofrecer herramientas relacionadas con ChatGPT y que detectó y bloqueó más de 1,000 URL únicas para que no se compartieran en sus servicios.