新版本惡意程式家族Ducktail,可以透過被感染的歸檔和惡意瀏覽器擴充插件,盜竊Facebook商用帳號,目標是替公司掌管社交媒體帳號的員工,最終目的是騎劫公司的帳號進行其他不法行為。
誘餌和惡意內容
Ducktail背後的網絡犯罪份子會透過向潛在受害者發送惡意歸檔,為了降低收件者的警剔,檔案中含有與流行主題相關的圖像和影片檔案,例如在3月至10月初期間就以服飾為主題,內裡就包含一些大品牌的模特兒服裝照片,但同時會放有一個PDF圖示的執行(exe)檔,檔名也稍作偽裝讓收件者不虞有詐。
如果點擊執行該執行檔的話便會在目標裝置執行惡意腳本,雖然初期會顯示部份內嵌的PDF內容,藉此希望受害者不會察覺背後的陷阱,同時間惡意程式也會掃瞄桌面、快捷列等地方上所有捷徑,尋找Chromium為基礎的瀏覽器,例如Chrome、Edge、Vivaldi和Brave等等,一經發現便執行指令安裝新增的瀏覽器擴充插件,並在5分鐘後終止瀏覽器運作,要求用戶重新啟動被修改後的捷徑。
惡意瀏覽器擴充插件
如果用戶點擊捷徑,惡意擴充插件便會安裝到瀏覽器,並偽裝成Google Docs Offline,使用了完全相的的標示和描述。成功安裝和執行,惡意擴充插件便會開始持續監視瀏覽器中打開的分頁,把相關資料發送到攻擊的的C&C伺服器,當發現含有Facebook的網址便立即檢查和騎劫投放廣告和管現的商用帳號。
擴充插件能盜竊在受害者裝置上的已登入Facebook帳號以及儲存在瀏覽器內的有效cookies,後者可以用來作為登入帳號而無需經過驗證。據報導有關組織早在2018現已經開始活躍,有複數研究人員認為背後人士使用越南語。
防範Ducktail的入侵
想防範Ducktail或類似的威脅,我們經常提到的基本注意事項都對它有效:
- 永遠不要下載可疑的歸檔,特別是來自不可信的來源。
- 在打開前,小心檢查所有從互聯網及電郵下載的檔案副檔名。
- 永遠不要點擊看似無害但卻是exe副檔名的文件,這明顯是惡意程式的跡象。
- 在所有工作裝置上安裝可靠的防護,對潛在危險作出警告並且防範網絡攻擊。
資料來源:Kaspersky Blog