На прошлой неделе специалисты «Лаборатории Касперского» разбирали свежую атаку под кодовым названием Ducktail. За этой киберкриминальной кампанией предположительно стоит группировка из Вьетнама.
Характерной чертой Ducktail в её последней версии является специализация на маркетологах. Почтовые «приманки» сделаны так, чтобы привлечь именно таких специалистов, а результатом заражения компьютера становится кража бизнес-аккаунтов в социальной сети.
Самая свежая кибератака такого типа происходила с марта по начало октября 2023 года. Её особенностью являлось использование вредоносных приложений, написанных на Delphi, хотя в предыдущих атаках использовался код на .NET. Несмотря на то что инструменты кибератаки использованы базовые, данный метод не лишён эффективности.
В жизни многих специалистов обычным явлением являются разнообразные «брифы», списки требований и прочие документы. Расчёт киберпреступников строится на том, что потенциальная жертва привыкла получать из непонятных источников архивы с разными файлами. Вредоносный архив выглядит примерно так: Набор картинок, видео и исполняемый файл с иконкой от документа PDF.
Кибермошенники не делают попытки воспользоваться одной из уязвимостей, например, в Adobe Reader, речь идёт о чистой социальной инженерии. Исполняемый файл сохраняет в системе несколько файлов, включая скрипт Powershell и нормальный документ PDF. PDF демонстрируется пользователю, и с его точки зрения, никакой проблемы пока не происходит.
Тем временем по пути C:\Users\Public\Libraries\ сохраняется и выполняется вредоносная библиотека libEGL.dll. Она, в свою очередь, находит все файлы .LNK, ссылающиеся на браузеры, созданные на основе открытого движка Chromium. В строку запуска браузера добавляется строка, инициирующая добавление в него вредоносного расширения. Браузеры тем временем принудительно закрываются, чтобы пользователь сам инициировал их перезапуск.
Расширение маскируется под легитимный аддон Google Docs Offline. На картинке вредоносная программа показана слева, справа — настоящее расширение от Google.
Это расширение обеспечивает полноценную слежку за веб-активностью жертвы — на командный сервер отправляются данные обо всех открытых вкладках. Если вредоносная программа обнаруживает посещение соцсети Facebook*, учётная запись пользователя проверяется на наличие бизнес-аккаунтов — управляемых жертвой корпоративных страниц. Доступ к учётным записям перехватывается, для чего в арсенале киберпреступников есть инструменты для кражи кук, доступа к API соцсети и обхода двухфакторной авторизации.
Наиболее часто злоумышленники атаковали пользователей из Индии. Инструментарий киберпреступников не поражает воображение, использованы довольно базовые, но надёжные приемы для кражи пользовательских данных. Несмотря на простоту, такая тактика работает. Так, весной этого года был взломан популярный Youtube-канал Linus Tech Tips. После перехвата браузерной сессии злоумышленники получили доступ к каналу и несколько часов транслировали на нём видео с криптоскамом. А началась эта атака очень похожим образом: на почту сотрудника пришло предложение о сотрудничестве с документом в формате PDF.
Meta* (Facebook) признана в РФ экстремистской организацией и запрещена.
Материалы: Блог компании «Лаборатория Касперского»