Hoạt Động Của Vietcredcare và Ducktail
Trong bối cảnh an ninh mạng ngày càng phức tạp, việc theo dõi và phân tích các chiến dịch tấn công mạng là vô cùng quan trọng. Vietcredcare và Ducktail, được phát hiện và nghiên cứu bởi Group-IB, một công ty hàng đầu trong lĩnh vực an ninh mạng.
Chiến dịch Vietcredcare
Phương thức phân phối
Ngụy trang phần mềm: Vietcredcare hoạt động dưới dạng malware-as-a-service, thường được ngụy trang thành các ứng dụng đáng tin cậy như Excel hoặc Acrobat Reader. Phần mềm độc hại này được phát tán qua Facebook Messenger, Zalo và email.
Mục tiêu: Chiến dịch này tập trung vào việc thu thập thông tin từ các tài khoản Facebook tại Việt Nam để bán lại cho các mạng lưới tội phạm mạng trong nước.
Kiến trúc kỹ thuật
Chức năng hạn chế: Vietcredcare chủ yếu tập trung vào việc trích xuất thông tin tài khoản Facebook cụ thể, không có các tính năng phức tạp như Ducktail.
Chiến lược kiếm tiền: Các nhà điều hành Vietcredcare bán dữ liệu tài khoản thô và cho thuê botnet để kiếm tiền. Họ sử dụng các kênh Telegram để thực hiện việc này.
Chiến dịch Ducktail
Phương thức phân phối
Spear-phishing trên LinkedIn và WhatsApp: Ducktail được triển khai qua các chiến dịch spear-phishing, với kẻ tấn công giả danh là nhà tuyển dụng hoặc nhà tiếp thị. Các liên kết phần mềm độc hại được lưu trữ trên các nền tảng như Dropbox, Mega, Microsoft OneDrive và iCloud.
Ngụy trang dưới dạng tài liệu công việc: Các tệp độc hại thường được ngụy trang dưới dạng tài liệu công việc hoặc hướng dẫn tiếp thị, nhằm lừa người dùng tải xuống và mở chúng.
Kiến trúc kỹ thuật
Tính năng nâng cao: Ducktail có các tính năng như vượt qua xác thực hai yếu tố và mã hóa dữ liệu trước khi chuyển ra ngoài. Phần mềm độc hại này thường là một tệp thực thi .NET, nhưng cũng có thể xuất hiện dưới dạng tiện ích mở rộng trình duyệt hoặc add-in Excel.
Chiến lược kiếm tiền: Ducktail sử dụng các tài khoản Facebook Business Manager bị đánh cắp để điều hành các cửa hàng trực tuyến giả mạo và các chiến dịch quảng cáo, tạo ra lợi nhuận đáng kể.
Chiến thuật xâm nhập
Tạo tài khoản giả mạo trên LinkedIn: Ducktail tạo các bài đăng công việc giả mạo trên LinkedIn để thu hút các chuyên gia tiếp thị, những người có khả năng truy cập vào các tài khoản quảng cáo.
Sử dụng dịch vụ proxy: Các tác nhân đe dọa sử dụng dịch vụ proxy để truy cập vào các tài khoản bị xâm nhập mà không bị phát hiện.
Phản ứng và biện pháp phòng ngừa
Phản ứng từ các tổ chức
Điều tra và phân tích: Group-IB đã tiến hành điều tra chi tiết về cả hai chiến dịch, cung cấp thông tin quan trọng giúp các tổ chức tài chính và doanh nghiệp nâng cao cảnh giác.
Cảnh báo và hướng dẫn: Các tổ chức bị ảnh hưởng đã nhận được cảnh báo và hướng dẫn từ Group-IB về cách phát hiện và ngăn chặn các cuộc tấn công tương tự trong tương lai.
Biện pháp phòng ngừa
Nâng cao nhận thức: Các tổ chức cần tăng cường đào tạo nhân viên về nhận diện email và tin nhắn lừa đảo.
Cập nhật hệ thống bảo mật: Đảm bảo rằng tất cả các hệ thống bảo mật được cập nhật thường xuyên để phát hiện và ngăn chặn các phần mềm độc hại mới nhất.
Sử dụng xác thực hai yếu tố: Khuyến khích sử dụng xác thực hai yếu tố cho tất cả các tài khoản quan trọng để tăng cường bảo mật.
Tình hình hiện tại và dự báo
Sau khi chính quyền Việt Nam bắt giữ hơn 20 cá nhân liên quan đến việc phân phối và vận hành các chương trình độc hại này, hoạt động của Vietcredcare đã giảm đáng kể. Tuy nhiên, Ducktail vẫn hoạt động mạnh mẽ với các chiến dịch liên tục và kỹ thuật được cập nhật.
Group-IB cảnh báo về sự phát triển của một hệ sinh thái tội phạm mạng mới tại Việt Nam, với các biến thể infostealer mới xuất hiện để đáp ứng nhu cầu về tài khoản Facebook bị đánh cắp.
