Описание вредоносного ПО

Неделя моды Ducktail

Ducktail — это семейство вредоносных файлов, активное со второй половины 2021 года и по настоящее время и предназначенное для кражи бизнес-аккаунтов Facebook*. Об атаках с использованием этого ПО ранее писали WithSecure и GridinSoft: злоумышленники распространяли его под видом документов, связанных с проектами и продукцией крупных компаний и известных брендов. В обоих отчетах утверждается, что за атаками Ducktail стоит вьетнамская группировка. Мы изучили одну из ее последних кампаний, которая проводилась с марта по начало октября 2023 года и была нацелена на специалистов по маркетингу. Важным ее отличием от предыдущих является использование приложений, написанных на Delphi, вместо .NET-приложений.

Заражение

В ходе кампании злоумышленники рассылали архив, в который были упакованы изображения новой продукции легитимных организаций и вредоносный исполняемый файл, замаскированный под PDF-документ с помощью иконки. При запуске вредоносная программа открывала настоящий PDF-файл, зашитый в ее код и содержащий информацию о вакансии. Таким образом, злоумышленники атаковали аккаунты специалистов по маркетингу, заинтересованных в смене работы. Именно выбор жертв, а также специфичные ресурсы, используемые злоумышленниками, изначально позволили нам предположить, что в этой кампании распространяется новая версия Ducktail.

Вредоносный файл устанавливал в браузер жертвы расширение, способное украсть рекламные и бизнес-аккаунты Facebook*, вероятно, для дальнейшей продажи.

Ducktail и вредоносное расширение

Мы изучили множество архивов, распространявшихся в рамках последней кампании: во всех случаях Ducktail рассылали от лица крупнейших игроков на рынке одежды.

Содержимое вредоносного архива

Содержимое вредоносного архива

Если заинтересованная предложением жертва запускает вредоносный файл, тот сохраняет PowerShell-скрипт param.ps1 и PDF-обманку по пути C:\Users\Public. PowerShell-скрипт открывает PDF-файл стандартным средством работы с PDF на устройстве, а затем ожидает пять минут и закрывает процесс браузера Chrome.

Пока скрипт ожидает, родительский EXE-файл дополнительно сохраняет вредоносную библиотеку под именем libEGL.dll по пути C:\Users\Public\Libraries\ и загружает ее. Библиотека при запуске проходит по всем LNK-файлам на рабочем столе, а также в следующих директориях:

  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\,
  • C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\,

и подменяет строку запуска для ярлыков браузеров на основе Chromium (Google Chrome, Edge, Vivaldi, Brave), добавляя флаг --load-extension="C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\fjoaledfpmneenckfbpdfhkmimnjocfa".

Часть строк библиотеки, необходимых для работы вредоносного кода, зашифрована с помощью AES-CBC с ключом «gnghfn47n467n43b» и вектором инициализации «dakfhskljh92384h».

Использование строк, содержащих ключ и вектор инициализации AES

Использование строк, содержащих ключ и вектор инициализации AES

Помимо запуска библиотеки, родительский файл также сохраняет по вышеупомянутому пути C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\fjoaledfpmneenckfbpdfhkmimnjocfa файлы вредоносного расширения. Расширение маскируется под Google Docs Offline с помощью иконки и описания, а директория fjoaledfpmneenckfbpdfhkmimnjocfa используется легитимным расширением NordVPN. Стоит отметить, что вариации вредоносного файла могут использовать и иные пути для размещения расширения.

Вредоносное расширение в браузере Google Chrome (слева) и легитимное расширение «Google Документы офлайн» (справа)

Основной скрипт расширения обфусцирован. Он постоянно отправляет информацию обо всех открытых вкладках на C&C-сервер, и, если среди них обнаружены URL, связанные с Facebook*, то запускается логика проверки наличия рекламных и бизнес-аккаунтов с последующей их кражей. В частности, расширение крадет cookie-файлы и данные из аккаунтов жертвы, в которые выполнен вход на устройстве. Также в расширении реализованы средства для обхода двухфакторной аутентификации: злоумышленники используют API-запросы Facebook* и вьетнамский сервис 2fa[.]live, который содержит различные вспомогательные инструменты, среди прочего позволяющие сгенерировать одноразовые коды для входа. Вероятно, с помощью этого механизма они входят в аккаунты с истекшей сессией. Украденная информация об аккаунтах, как и cookie, направляется на C&C-сервер, зарегистрированный во Вьетнаме.

Схема исполнения вредоносных файлов

Схема исполнения вредоносных файлов

Помимо основного скрипта, в рассматриваемой кампании в папку с расширением сохранялся скрипт с именем jquery-3.3.1.min.js, представляющий собой поврежденную версию основного скрипта из предыдущих атак.

География атак Ducktail

По данным нашей телеметрии, чаще всего злоумышленники атаковали пользователей из Индии. Также наши решения пресекли попытки заражения на устройствах пользователей с Украины, из Казахстана, Германии, Португалии, Ирландии, Греции, Иордании, Пакистана, Вьетнама, ОАЭ, США, Перу и Чили.

Матрица MITRE ATT&CK

Tactic Technique ID Technique
Initial Access T1566.001 Phishing: Spearphishing Attachment
Persistence T1176 Browser Extensions
Execution T1059.001 Command and Scripting Interpreter: PowerShell
T1129 Shared Modules
T1204.002 User Execution: Malicious File
Enterprise T1539 Steal Web Session Cookie
Resource Development T1583.001 Acquire Infrastructure: Domains
Reconnaissance T1589 Gather Victim Identity Information
T1598.002 Phishing for Information: Spearphishing Attachment
Defense Evasion T1027 Obfuscated Files or Information
Command and Control T1071.001 Application Layer Protocol: Web Protocols
T1132.001 Data Encoding: Standard Encoding
Exfiltration T1041 Exfiltration Over C2 Channel

Индикаторы компрометации
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C&C
dauhetdau[.]com
motdanvoi20232023[.]com
voiconprivatesv2083[.]com
cavoisatthu2023asd[.]com


* Facebook принадлежит компании Meta, признанной экстремистской в Российской Федерации.

Неделя моды Ducktail

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике