Phần mềm độc hại mới DUCKTAIL chuyên xâm nhập tài khoản Facebook Business

09:00 | 23/08/2022 | HACKER / MALWARE

Các nhà nghiên cứu của WithSecure (trước đây là F-Secure có trụ sở tại Phần Lan) tuyên bố rằng họ đã tìm thấy phần mềm độc hại DUCKTAIL nhắm mục tiêu vào người dùng và tổ chức trên nền tảng Facebook Business trong một chiến dịch độc hại mới có động cơ tài chính. Đặc biệt, nhóm nghiên cứu cho rằng nhóm tin tặc gây ra cuộc tấn công này đến từ Việt Nam.

WithSecure tin rằng nhóm tin tặc này đã thăm dò tính năng bảo mật của Facebook trong 3 năm và đã điều chỉnh thành công DUCKTAIL để đối phó với những thay đổi của mạng xã hội này. Nhóm nghiên cứu cũng khẳng định rằng, nhóm tin tặc đến từ Việt Nam đã hoạt động từ năm 2018 và tập trung vào Facebook từ nửa cuối năm 2021 với mục tiêu chính là các cá nhân có vai trò quản lý, tiếp thị kỹ thuật số, truyền thông kỹ thuật số và nhân sự trong các công ty.

Cách thức hoạt động của DUCKTAIL

Báo cáo của WithSecure nêu rõ: “Phần mềm độc hại này được thiết kế để đánh cắp cookie của trình duyệt và lợi dụng các phiên đăng nhập đã xác thực để lấy cắp thông tin từ tài khoản Facebook của nạn nhân và cuối cùng là chiếm đoạt bất kỳ tài khoản Facebook Business nào mà nạn nhân có đủ quyền truy cập. DUCKTAIL được lưu trữ trên các dịch vụ Đám mây như MediaFire, iCloud và Dropbox và phân phối đến các cá nhân được nhắm mục tiêu thông qua LinkedIn vì họ thường có tài khoản doanh nghiệp Facebook".

Phần mềm độc hại mới DUCKTAIL chuyên xâm nhập tài khoản Facebook Business

Phần mềm độc hại DUCKTAIL được lưu trữ trên iCloud

DUCKTAIL được viết bằng nền tảng .NET Core, một tệp nhị phân được thiết kế để sử dụng Telegram để ra lệnh và kiểm soát, đồng thời trích xuất dữ liệu. WithSecure đã xác định được 8 kênh Telegram được sử dụng cho mục đích này.

Nếu nạn nhân mở một liên kết độc hại, DUCKTAIL sẽ quét máy tính bị nhiễm để tìm trình duyệt và trích xuất cookie cho biết các phiên Facebook đã được xác thực để sử dụng, nhằm giành quyền truy cập vào các tài khoản đó. Việc điều khiển DUCKTAIL được xử lý thông qua dịch vụ nhắn tin Telegram, sử dụng hệ thống Telegram Bot và dữ liệu cá nhân cũng được gửi lại cho tin tặc theo cách này.

Cụ thể, các phiên bản mới của DUCKTAIL chạy một vòng lặp vô hạn cho phép liên tục lọc các bản cập nhật và cookie mới từ tài khoản Facebook của nạn nhân để tương tác với nó và tạo ID email với quyền truy cập quản trị. Đó là cách tin tặc có toàn quyền kiểm soát tài khoản và chỉnh sửa thẻ tín dụng doanh nghiệp hoặc các chi tiết tài chính khác như giao dịch, phương thức thanh toán,... Các tài khoản bị tấn công có thể cung cấp cho tin tặc rất nhiều thông tin, bao gồm mã 2FA, địa chỉ IP và vị trí địa lý, chi tiết tài chính và số thẻ tín dụng,…

Cách thức hoạt động của DUCKTAIL

Bảo vệ khỏi phần mềm độc hại DUCKTAIL

Cách tốt nhất để bảo vệ người dùng khỏi phần mềm độc hại DUCKTAIL là cảnh giác khi mở email và tệp đính kèm từ những người gửi không xác định và tránh nhấp vào các liên kết trong email.

Bên cạnh đó, người dùng không truy cập liên kết hoặc tải xuống tệp đính kèm do người dùng ẩn danh gửi thông qua tính năng trò chuyện LinkedIn hoặc Facebook Messenger. Người dùng cũng nên sử dụng mật khẩu mạnh và xác thực hai yếu tố bất cứ khi nào có thể.

Song song, người dùng cần thường xuyên cập nhật thiết bị của mình với các bản cập nhật mới nhất để giảm nguy cơ bị nhiễm DUCKTAIL hay bất kỳ phần mềm độc hại nào khác.

Quốc Trường

‹ › ×

Tin liên quan

Nhóm tin tặc Gallium tấn công mạng bằng mã độc PingPull

08:00 | 23/06/2022

Nhóm tin tặc Gallium được cho là có nguồn gốc từ Trung Quốc đã sử dụng trái phép trojan truy cập từ xa (RAT) để tấn công gián điệp mạng vào các mục tiêu ở Đông Nam Á, Châu Âu và Châu Phi.

Phát hiện Trojan Android đánh cắp hơn 300.000 tài khoản Facebook

14:00 | 09/12/2022

Một chiến dịch đánh cắp tài khoản Facebook vừa được phát hiện với hơn 300.000 tài khoản bị tấn công, chủ yếu tại Việt Nam, Trojan Android này đã giả dạng các ứng dụng giáo dục để thực hiện hành vi đánh cắp thông tin đăng nhập tài khoản Facebook từ các thiết bị bị nhiễm.

Tin tặc chiếm đoạt tài khoản người dùng qua hoạt động lừa đảo WhatsApp OTP

10:00 | 14/06/2022

Rahul Sasi, nhà sáng lập CloudSEK (Ấn Độ) đã đưa ra cảnh báo về hoạt động lừa đảo WhatsApp OTP có thể cho phép tin tặc chiếm đoạt tài khoản người dùng thông qua các cuộc gọi.

Chính phủ Hoa Kỳ yêu cầu đảm bảo an ninh từ các nhà cung cấp phần mềm

09:00 | 13/12/2022

Trung tuần tháng 9, Nhà Trắng thông báo Văn phòng Quản lý và Ngân sách (OMB) đã ban hành hướng dẫn mới với mục đích đảm bảo rằng các cơ quan liên bang chỉ sử dụng phần mềm an toàn. Hướng dẫn có tên “Tăng cường bảo mật của chuỗi cung ứng phần mềm thông qua các thực tiễn phát triển phần mềm an toàn” được xây dựng theo lệnh hành pháp về an ninh mạng do Tổng thống Joe Biden ký vào tháng 5/2021.

Mã độc tấn công nhiều tài khoản Facebook tại Việt Nam

15:00 | 31/08/2023

Mới đây, hệ thống giám sát và cảnh báo mã độc của Bkav đã ghi nhận số lượng máy tính nhiễm mã độc Fabookie tăng đột biến. Bkav cho biết, trong tháng 7/2023, đã có hơn 100.000 máy tính tại Việt Nam bị nhiễm mã độc Fabookie - chuyên đánh cắp tài khoản Facebook Bussiness.

Những ứng dụng cần gỡ để tránh bị đánh cắp mật khẩu Facebook và tiền mã hóa của người dùng

10:00 | 27/05/2022

Nếu đang cài một trong số các ứng dụng dưới đây, người dùng cần ngay lập tức xóa chúng khỏi điện thoại để bảo vệ tài khoản Facebook và tiền mã hóa.

Cách loại bỏ trojan, virus, worm và các phần mềm độc hại

14:00 | 09/12/2022

Phần mềm độc hại đã trở thành khái niệm không còn xa lạ đối với người dùng hiện nay. Tuy nhiên, chúng được phân loại và có cách thức hoạt động khác nhau. Bài viết này hướng dẫn người dùng cách loại bỏ những phần mềm độc hại thuộc dạng virus, trojan, worm.

Tin cùng chuyên mục

Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN

16:00 | 15/04/2024

Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).

Lỗ hổng LogoFAIL có thể ảnh hưởng đến phần lớn các máy tính

16:00 | 18/12/2023

Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.

Fortinet cảnh báo lỗ hổng chèn lệnh nghiêm trọng trong FortiSIEM

13:00 | 21/11/2023

Fortinet cảnh báo khách hàng về lỗ hổng chèn lệnh nghiêm trọng trong hệ điều hành máy chủ của FortiSIEM, lỗ hông này có thể bị khai thác bởi kẻ tấn công chưa xác thực từ xa để thực thi lệnh qua các truy vấn API tự tạo.