روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین ما نسخه جدیدی از بدافزار متعلق به خانواده داکتیل[1] را کشف کردند. مجرمان سایبری از این بدافزار برای هدف قرار دادن کارمندان شرکت که یا دارای سِمَت‌های نسبتاً ارشد هستند و یا در بخش منابع انسانی، بازاریابی دیجیتال یا بازاریابی رسانه‌های اجتماعی کار می‌کنند استفاده می‌کنند. هدف نهایی آن‌ها سرقت اکانت‌های تجاری فیسبوکی است پس منطقی است که مهاجمین به آن‌هایی علاقه داشته باشند که بیشترین دسترسی را به این اکانت‌ها دارند. امروز قصد داریم در این مقاله از نحوه اتفاق افتادن این حمله، اینکه چرا این بدافزار عجیب و غریب عمل می‌کند و چطور باید از خود در مقابل آن محافظت کرد با شما گفته‌ایم. با ما همراه بمانید.

دام و پی‌لود مخرب

آنچه دست‌های پشت پرده داکتیل انجام می دهند ارسال آرشیو مخرب به قربانی‌های احتمالی است. برای خواب کردن گیرنده، آرشیوها حاوی دامی هستند در قالب تصاویر و فایل‌های ویدیویی مبتنی بر تم در مورد یک موضوع مشترک. برای مثال تم بیشتر کمپین‌های اخیر (از مارس تا اوایل اکتبر 2023) فشن بود: ایمیل‌ها به نام مهره‌های سنگین صنعت مد با آرشیوهایی حاوی عکس‌هایی از آیتم‌های پوشاک فرستاده شد. با این حال، داخل این آرشیوها همچنین فایل‌های قابل اجرا هم بود. این فایل‌ها آیکون‌های پی دی‌اف و فایل نام‌های بلندی داشتند که برای دور کردن توجه قربانی از افزونه exe بود. افزون بر این، به نظر می‌رسید نام فایل‌های تقلبی با دقت زیادی مرتبط انتخاب شده بود تا گیرنده متقاعد شود روی آن‌ها کلیک کند. در کمپین مبتنی بر تم، نام‌ها به گایدلاین‌ها و الزامات کاندیدا اشاره می‌کردند اما سایر دام‌ها مانند فهرست قیمت یا پیشنهادات تجاری نیز استفاده می‌شدند.

بعد از کلیک روی فایل exe مبدل، اسکریپت مخرب روی دستگاه هدف اجرا می‌شود. اول محتواهای برخی فایل‌های پی دی‌اف را در کد بدافزار نمایش می‌دهد امید بر اینکه قربانی از ماجرا بویی نبرد و در عین حال، بدافزار همه میانبرهای روی دسکتاپ را –منوی استارت- و نوار ابزار کوئیک لانچ را اسکن می‌کند. بدافزار که به دنبال میانبرهایی برای مرورگرهای مبتنی بر Chromium، مانند Google Chrome، Microsoft Edge، Vivaldi، Brave...  بود، با پیدا کردن یکی از آن‌ها، خط فرمان خود را با افزودن دستورالعملی برای نصب یک پسوند مرورگر، که در فایل اجرایی نیز تعبیه شده است، تغییر می‌دهد.

افزونه مخرب مرورگر

پس از اینکه کاربر روی میانبر کلیک کرد، یک افزونه مخرب در مرورگر نصب می‌شود، جایی که به طور متقاعدکننده‌ای به عنوان Google Docs Offline با استفاده از آیکون و توضیحات دقیقاً مشابه ظاهر می‌شود (البته فقط به زبان انگلیسی، که می‌تواند در برخی مناطق جعل را از بین ببرد). پنج دقیقه بعد، اسکریپت مخرب فرآیند مرورگر را خاتمه داده و از کاربر می‌خواهد با استفاده از یکی از میانبرهای اصلاح‌شده، آن را مجددا راه‌اندازی کند. وقتی افزونه مخرب نصب و اجرا شد، شروع می‌کند به نظارت دائم همه تب‌ها توسط کاربر در مرورگر و نیز ارسال اطلاعات در مورد آن‌ها به سرور c2 مهاجمین. اگر پی ببرد که آدرسی از بین تب‌های باز شده به فیسبوک ربط دارد، افزونه مخرب اول اکانت‌های ads و business را چک کرده و بعد آن‌ها را سرقت می‌کند. افزنه اطلاعات را از اکانت‌های فیسبوکی (با لاگ شدن به دستگاه قربانی) و نیز کوکی‌های سشن فعال را که در مرورگر ذخیره شدند (و می‌توانند برای sign in کردن به اکانت‌ها بدون احراز هویت استفاده شوند) می‌دزدد. گروه پشت بدافزار (طبق گزارشات) از سال 2018 فعال بوده است.  برخی تیم‌های تحقیقی بر این باورند که این گروه ماهیتی ویتنامی دارد. توزیع داکتیل این گروه از سال 2021 شروع شده است.

راهکارهای محافظتی

برای محافظت در برابر Ducktail و تهدیدات مشابه، کارکنان باید به سادگی بهداشت دیجیتال اولیه را رعایت کنند. به خصوص:

•         هرگز آرشیوهای مشکوک را در کامپیوترهای کاری دانلود نکنید - به خصوص اگر لینک‌ها از منابع نامعتبر آمده باشند.
•         قبل از باز کردن فایل های دانلود شده از اینترنت یا ایمیل، پسوند آنها را به دقت بررسی کنید.
•         هرگز روی فایلی که شبیه یک سند بی ضرر بوده، اما دارای پسوند EXE است، کلیک نکنید - این نشانه واضحی از بدافزار است.
•         همیشه محافظ قابل اعتماد را روی همه دستگاه‌های کاری نصب کنید. این به شما در مورد خطر احتمالی هشدار و هر گونه حمله را به موقع شکست می‌دهد. راهکارهای ما این تهدید را با حکم HEUR:Trojan.Win64.Ducktail.gen شناسایی می‌کنند.

[1] Ducktail family

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.