Các nhà nghiên cứu bảo mật vừa phát hiện ra một mã độc đánh cắp thông tin trên Windows chưa từng được thấy trước đây. Nó được viết bằng PHP và có khả năng đánh cắp tài khoản Facebook, dữ liệu trình duyệt và thông tin đăng nhập ví tiền điện tử.
Theo các nhà nghiên cứu, mã độc này được phát tán bởi một chiến dịch lừa đảo Ducktail mới. Các chiến dịch lừa đảo Ducktail được tiết lộ lần đầu bởi các nhà nghiên cứu của WithSecure vào tháng 7/2022. Họ cho rằng các cuộc tấn công được thực hiện bởi hacker Việt Nam.
Các chiến dịch lừa đảo được thực hiện thông qua các phương thức social engineering trên LinkedIn, phát tán mã độc .NET Core được ngụy trang dưới dạng tài liệu PDF chứa thông tin chi tiết về các dự án, yêu cầu công việc...
Mã độc này chuyên đánh cắp các thông tin được lưu trữ trong trình duyệt, tập trung vào dữ liệu tài khoản Facebook Business và gửi nó về một kênh Telegram riêng tư hoạt động như một máy chủ Command & Control. Sau đó, hacker sử dụng những thông tin đánh cắp được để lừa đảo tài chính hoặc chạy quảng cáo độc hại.
Theo Zscaler, trong chiến dịch Ducktail mới, tin tặc sử dụng một script PHP trong vai trò mã độc đánh cắp thông tin chạy trên hệ điều hành Windows.
Mã độc đánh cắp thông tin viết bằng PHP
Ducktail hiện đã thay thế mã độc đánh cắp thông tin .NET Core cũ kỹ được sử dụng trong các chiến dịch trước đây bằng một mã độc mới được viết bằng PHP.
Để lừa người dùng, trong chiến dịch mới, mã độc sẽ được ngụy trang dưới dạng game, tệp phụ đề, video khiêu dâm và các ứng dụng MS Office crack. Chúng được lưu trữ ở định dạng ZIP trên các dịch vụ lưu trữ tệp công cộng, hợp pháp.
Khi được thực thi, quá trình cài đặt diễn ra trong nền và lúc người dùng nhìn thấy cửa sổ hiện lên với thông báo "Checking Application Compatibility" cũng là thời điểm mã độc đang được cài đặt. Cửa sổ thông báo cũng đóng vai trò câu giờ cho mã độc hoàn tất cài đặt.
Cuối cùng, mã độc sẽ được giải nén vào thư mục %LocalAppData%\Packages\PXT, bao gồm trình thông dịch cục bộ PHP.exe, các script khác nhau được sử dụng để đánh cắp thông tin và các công cụ hỗ trợ như bạn có thể thấy trong ảnh bên dưới:
Để "đeo bám" dai dẳng trên hệ thống của nạn nhân, mã độc PHP này thêm các tác vụ đã lên lịch trên host để thực thi hàng ngày và đều đặn. Đồng thời, một tệp TMP được tạo sẽ chạy một quy trình song song để khởi chạy thành phần đánh cắp thông tin.
Code của trình đánh cắp thông tin là một script PHP bị xáo trộn (Base64), được giải mã trực tiếp trên bộ nhớ mà không cần liên quan gì tới ổ cứng, giảm thiểu khả năng bị phát hiện.
Các dữ liệu bị nhắm đến bao gồm chi tiết tài khoản Facebook mở rộng, dữ liệu nhạy cảm được lưu trữ trong trình duyệt, cookie của trình duyệt, ví tiền điện tử và thông tin cài khoản những như dữ liệu cơ bản của hệ thống.
Các thông tin thu thập được không chuyển về Telegram nữa mà thay vào đó được lưu trữ trong một trang web JSON nơi cũng lưu trữ token tài khoản và dữ liệu cần thiết để thực hiện lừa đảo trên thiết bị.
Mở rộng phạm vi mục tiêu
Trong các chiến dịch trước, Ducktail nhắm vào các nhân viên làm việc trong các bộ phận tài chính hoặc tiếp thị tại các công ty có khả năng được trao quyền tạo và chạy các chiến dịch quảng cáo trên nền tảng mạng xã hội.
Mục đích của chúng lat kiểm soát những tài khoản đó và thực hiện thanh toán trực tiếp vào tài khoản ngân hàng của họ hoặc chạy các chiến dịch quảng cáo bẩn trên Facebook nhằm phát tán mã độc tới nhiều nạn nhân hơn.
Tuy nhiên, trong chiến dịch mới nhất, Zscaler nhận thấy rằng phạm vi mục tiêu của Ducktail đã được mở rộng. Bây giờ, mã độc này nhắm vào cả những người dùng Facebook thông thường và thu thập hết các thông tin có giá trị mà họ lưu trong tài khoản.
Tuy nhiên, nếu nhận thấy tài khoản là tài khoản doanh nghiệp, mã độc sẽ cố gắng lấy thêm các thông tin như phương thức thanh toán, chu kỳ, số tiền đã chi tiêu, chi tiết chủ sở hữu, trạng thái xác minh, trang sở hữu, địa chỉ PayPal...
Sự phát triển của Ducktail và các nỗ lực tránh sự giám sát của chuyên gia bảo mật cho thấy những kẻ đứng sau mã độc này vẫn quyết tâm tiếp tục kiếm tiền bất hợp pháp.
Người dùng nên cẩn thận với các tin nhắn trên LinkedIn và xử lý các file được tải về từ internet một cách cẩn thận hơn. Đặc biệt là người dùng nên tránh các phần mềm ăn cắp bản quyền, crack, mod hay hack/cheat game.