Pirates Vietnamiens : Un Logiciel Malveillant Delphi Utilisé pour Cibler les Professionnels du Marketing Indiens

« Une caractéristique importante qui la distingue est que, contrairement aux campagnes précédentes, qui s’appuyaient sur des applications .NET, celle-ci a utilisé Delphi comme langage de programmation », a déclaré Kaspersky dans un rapport publié la semaine dernière.

Ducktail, tout comme Duckport et NodeStealer, fait partie d’un écosystème cybercriminel opérant à partir du Viêt Nam. Les attaquants utilisent principalement des publicités sponsorisées sur Facebook pour propager des annonces malveillantes et déployer des logiciels malveillants capables de piller les cookies de connexion des victimes et finalement de prendre le contrôle de leurs comptes.

Ces attaques ciblent principalement les utilisateurs qui ont accès à un compte Facebook Business. Les fraudeurs utilisent ensuite cet accès non autorisé pour placer des publicités à des fins lucratives, perpétuant ainsi les infections.

Dans la campagne documentée par la société russe de cybersécurité, des cibles potentielles cherchant à changer de carrière reçoivent des fichiers d’archive contenant un exécutable malveillant déguisé en icône PDF afin de les inciter à lancer le binaire. Le fichier malveillant enregistre alors un script PowerShell nommé param.ps1 et un document PDF leurre localement dans le dossier « C:\Users\Public » de Windows.

« Le script utilise la visionneuse PDF par défaut de l’appareil pour ouvrir le leurre, fait une pause de cinq minutes, puis met fin au processus du navigateur Chrome », explique Kaspersky. L’exécutable parent télécharge et lance également une bibliothèque malveillante nommée libEGL.dll, qui analyse les dossiers « C:\ProgramData\Microsoft\Windows\Start Menu\Programs » et « C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\ » à la recherche d’un raccourci (c’est-à-dire d’un fichier LNK) vers un navigateur web basé sur Chromium. L’étape suivante consiste à modifier le fichier de raccourci LNK du navigateur en y ajoutant un commutateur de ligne de commande « –load-extension » afin de lancer une extension malveillante qui se fait passer pour le module complémentaire Google Docs Offline légitime afin de passer inaperçue.
L’extension, quant à elle, est conçue pour envoyer des informations sur tous les onglets ouverts à un serveur contrôlé par un acteur enregistré au Viêt Nam et pour détourner les comptes professionnels Facebook.

Ces découvertes soulignent un changement stratégique dans les techniques d’attaque de Ducktail et interviennent alors que Google a intenté une action en justice contre trois inconnus en Inde et au Viêt Nam pour avoir profité de l’intérêt du public pour les outils d’IA générative tels que Bard afin de propager des logiciels malveillants via Facebook et de dérober les identifiants de connexion aux médias sociaux, Lorsqu’un utilisateur connecté à un compte de média social clique sur les liens affichés dans les publicités des défendeurs ou sur leurs pages, les liens redirigent vers un site web externe à partir duquel une archive RAR, un type de fichier, est téléchargée sur l’ordinateur de l’utilisateur. »Les fichiers d’archive comprennent un fichier d’installation capable d’installer une extension de navigateur capable de pirater les comptes de médias sociaux des victimes. Plus tôt en mai, Meta a déclaré avoir observé des acteurs de la menace créant des extensions de navigateur trompeuses disponibles sur des sites Web officiels qui prétendent offrir des outils liés à ChatGPT, et avoir détecté et bloqué plus de 1 000 URL uniques partagées par ses services. Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.