Les acteurs vietnamiens à l’origine du malware Ducktail Steerer ont été associés à une nouvelle campagne qui s’est déroulée entre mars et début octobre 2023, ciblant les professionnels du marketing en Inde dans le but de détourner des comptes professionnels Facebook.
« Une caractéristique importante qui la distingue est que, contrairement aux campagnes précédentes, qui reposaient sur des applications .NET, celle-ci utilisait Delphi comme langage de programmation », Kaspersky dit dans un rapport publié la semaine dernière.
Queue de canardaux côtés de Duckport et NodeStealer, fait partie d’un écosystème de cybercriminalité opérant depuis le Vietnam, les attaquants utilisant principalement des publicités sponsorisées sur Facebook pour propager des publicités malveillantes et déployer des logiciels malveillants capables de piller les cookies de connexion des victimes et finalement de prendre le contrôle de leurs comptes.
De telles attaques ciblent principalement les utilisateurs susceptibles d’avoir accès à un compte Facebook Business. Les fraudeurs utilisent ensuite cet accès non autorisé pour placer des publicités à des fins financières, perpétuant ainsi les infections.
Dans la campagne documentée par la société russe de cybersécurité, des cibles potentielles à la recherche d’un changement de carrière reçoivent des fichiers d’archives contenant un exécutable malveillant masqué par une icône PDF pour les inciter à lancer le binaire.
Cela entraîne l’enregistrement par le fichier malveillant d’un script PowerShell nommé param.ps1 et d’un document PDF leurre localement dans le dossier « C:UsersPublic » de Windows.
« Le script utilise la visionneuse PDF par défaut de l’appareil pour ouvrir le leurre, fait une pause de cinq minutes, puis met fin au processus du navigateur Chrome », a déclaré Kaspersky.
L’exécutable parent télécharge et lance également une bibliothèque malveillante nommée libEGL.dll, qui analyse les fichiers « C:ProgramDataMicrosoftWindowsStart MenuPrograms » et « C:ProgramDataMicrosoftInternet ExplorerQuick LaunchUser Pinned ». TaskBar » pour tout raccourci (c’est-à-dire, fichier LNK) vers un navigateur Web basé sur Chromium.
L’étape suivante consiste à modifier le fichier de raccourci LNK du navigateur en suffixant un commutateur de ligne de commande « –load-extension » pour lancer une extension malveillante qui se fait passer pour l’extension légitime. Module complémentaire Google Docs hors ligne passer sous le radar.
L’extension, quant à elle, est conçue pour envoyer des informations sur tous les onglets ouverts à un serveur contrôlé par un acteur enregistré au Vietnam et détourner les comptes professionnels Facebook.
Google poursuit les fraudeurs pour avoir utilisé des leurres Bard pour propager des logiciels malveillants
Les résultats soulignent un changement stratégique dans les techniques d’attaque de Ducktail et surviennent alors que Google a déposé une plainte contre trois individus inconnus en Inde et au Vietnam pour avoir capitalisé sur l’intérêt du public pour les outils d’IA générative tels que Bard pour diffuser des logiciels malveillants via Facebook et voler les identifiants de connexion aux réseaux sociaux.
« Les accusés diffusent des liens vers leurs logiciels malveillants via des publications sur les réseaux sociaux, des publicités (c’est-à-dire, sponsorisé des postes), et des pages, dont chacune prétend proposer des versions téléchargeables de Bard ou d’autres produits Google AI », la société allégué dans sa plainte.
« Lorsqu’un utilisateur connecté à un compte de réseau social clique sur les liens affichés dans les publicités des accusés ou sur leurs pages, les liens redirigent vers un site Web externe à partir duquel une archive RAR, un type de fichier, est téléchargée sur l’ordinateur de l’utilisateur. »
Les fichiers d’archive incluent un fichier d’installation capable d’installer une extension de navigateur capable de voler les comptes de réseaux sociaux des victimes.
Plus tôt en mai, Meta a déclaré avoir observé des acteurs malveillants créer des extensions de navigateur trompeuses disponibles dans les magasins en ligne officiels qui prétendent offrir des outils liés à ChatGPT et avoir détecté et bloqué le partage de plus de 1 000 URL uniques entre ses services.