Ducktail 窃取恶意软件背后的越南威胁行为者与 2023 年 3 月至 10 月初开展的一项新活动有关,该活动针对印度的营销专业人士,旨在劫持 Facebook 企业帐户。

卡巴斯基在上周发布的一份报告中表示,“它与众不同的一个重要特点是,与之前依赖 .NET 应用程序的活动不同,这次活动使用 Delphi 作为编程语言。”

DucktailDuckportNodeStealer一样,都是在越南运营的网络犯罪生态系统的一部分,攻击者主要使用 Facebook 上的赞助广告来传播恶意广告并部署能够掠夺受害者登录 cookie 并最终控制其帐户的恶意软件

此类攻击主要针对可能有权访问 Facebook Business 帐户的用户。然后,欺诈者利用未经授权的访问来投放广告以获取经济利益,从而进一步加剧感染。

在俄罗斯网络安全公司记录的活动中,寻求职业转变的潜在目标会收到包含恶意可执行文件的存档文件,该恶意可执行文件伪装成 PDF 图标,以诱骗他们启动二进制文件。

这样做会导致恶意文件将名为 param.ps1 的 PowerShell 脚本和一个诱饵 PDF 文档本地保存到 Windows 中的“C:\Users\Public”文件夹中。

卡巴斯基表示:“该脚本使用设备上的默认 PDF 查看器打开诱饵,暂停五分钟,然后终止 Chrome 浏览器进程。”

父可执行文件还会下载并启动名为 libEGL.dll 的恶意库,该库会扫描“C:\ProgramData\Microsoft\Windows\Start Menu\Programs”和“C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned” \TaskBar\” 文件夹,用于存放基于 Chromium 的 Web 浏览器的任何快捷方式(即 LNK 文件)。