متسللون فيتناميون يستخدمون برمجيات ضارة جديدة تعمل بتقنية Delphi لاستهداف المسوقين الهنود. ربطت جهات التهديد الفيتنامية وراء برمجيات Ducktail الضارة بحملة جديدة استمرت من مارس إلى أوائل أكتوبر 2023. استهدفت متخصصي التسويق في الهند بهدف اختطاف حسابات الأعمال التجارية على Facebook.
وقالت شركة Kaspersky في تقرير نشر الأسبوع الماضي: “من أهم الميزات التي تميز هذه الحملة عن الحملات السابقة أنها استخدمت Delphi كلغة برمجة. على عكس الحملات السابقة التي اعتمدت على تطبيقات .NET”.
برنامج Ducktail. إلى جانب Duckport و NodeStealer. هو جزء من منظومة إجرامية إلكترونية تعمل انطلاقًا من فيتنام. حيث يستخدم المهاجمون بشكل أساسي الإعلانات الممولة على Facebook لنشر الإعلانات الضارة ونشر برامج ضارة قادرة على سرقة ملفات تعريف ارتباط تسجيل الدخول الخاصة بالضحايا والسيطرة على حساباتهم في النهاية.
تستهدف هذه الهجمات بشكل أساسي المستخدمين الذين قد يكون لديهم حق الوصول إلى حساب الأعمال التجارية على Facebook. ثم يستخدم المحتالون الوصول غير المصرح به لوضع إعلانات لتحقيق مكاسب مالية. مما يؤدي إلى استمرار الإصابات.
في الحملة التي وثقتها شركة الأمن السيبراني الروسية. يتم إرسال ملفات أرشيف تحتوي على ملف تنفيذي ضار يحتوي على أيقونة PDF لخداعهم لبدء تشغيل الملف الثنائي إلى الأهداف المحتملة التي تبحث عن تغيير وظيفي.
يؤدي القيام بذلك إلى حفظ الملف الضار لنص برمجة PowerShell باسم param.ps1 ومستند PDF وهمي محليًا في المجلد “C:\Users\Public” في Windows.
وقالت شركة Kaspersky: “يستخدم النص البرمجي عارض PDF الافتراضي على الجهاز لفتح الملف الوهمي. ويتوقف لمدة خمس دقائق. ثم ينهي عملية متصفح Chrome”.
يقوم الملف التنفيذي الأصلي أيضًا بتنزيل وتشغيل مكتبة ضارة باسم libEGL.dll، والتي تقوم بمسح المجلدين “C:\ProgramData\Microsoft\Windows\Start Menu\Programs” و “C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar” بحثًا عن أي اختصار (أي ملف LNK) إلى مستعرض ويب قائم على Chromium.
برمجيات ضارة تعمل بتقنية Delphi
تتضمن المرحلة التالية تغيير ملف الاختصار LNK للمتصفح بإضافة مفتاح سطر الأوامر “–load-extension” لتشغيل ملحق ضار يتم伪装成合法的 Google Docs Offline add-on to fly under the radar.
كما تم تصميم الملحق. من جانبه. لإرسال معلومات حول جميع علامات التبويب المفتوحة إلى خادم يتم التحكم فيه من قبل المهاجم مسجل في فيتنام واختطاف حسابات الأعمال التجارية على Facebook.
Google Sues Scammers for Using Bard Lures to Spread Malware
تسلط النتائج الضوء على تحول استراتيجي في تقنيات هجوم Ducktail. وتأتي في الوقت الذي رفعت فيه Google دعوى قضائية ضد ثلاثة أشخاص مجهولين في الهند وفيتنام لاستغلال اهتمام الجمهور بأدوات الذكاء الاصطناعي التوليدية مثل Bard لنشر البرامج الضارة عبر Facebook وسرقة بيانات اعتماد تسجيل الدخول إلى وسائل التواصل الاجتماعي.
وقالت الشركة في شكواها: “يوزع المدعى عليهم روابط إلى البرامج الضارة الخاصة بهم من خلال منشورات وسائل التواصل الاجتماعي والإعلانات (أي المنشورات الممولة) والصفحات. والتي تدعي جميعها تقديم إصدارات قابلة للتنزيل من Bard أو منتجات Google AI الأخرى”.
على سبيل المثال عندما ينقر المستخدم المسجل الدخول إلى حساب وسائط التواصل الاجتماعي على الروابط المعروضة في إعلانات المدعى عليهم أو على صفحاتهم. يتم إعادة توجيه الروابط إلى موقع ويب خارجي يتم منه تنزيل ملف أرشيف RAR. وهو نوع من الملفات. إلى كمبيوتر المستخدم.
تتضمن ملفات الأرشيف ملفًا مثبتًا قادرًا على تثبيت ملحق متصفح ماهر في سرقة حسابات وسائل التواصل الاجتماعي الخاصة بالضحايا.
من ناحية أخرى. في وقت سابق من شهر مايو. قالت Meta إنها لاحظت أن جهات التهديد تقوم بإنشاء ملحقات متصفح خادعة متاحة. في متاجر الويب الرسمية والتي تدعي أنها تقدم أدوات مرتبطة بـ ChatGPT.
متسللون فيتناميون يستخدمون برمجيات ضارة جديدة تعمل بتقنية Delphi لاستهداف المسوقين الهنود. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.