越南黑客使用新的Delphi动力恶意软件瞄准印度营销人员

导语：据俄罗斯网络安全公司卡巴斯基实验室的报告，越南黑客团伙“Ducktail”最新使用Delphi编程语言开发的恶意软件，从2023年3月到10月初，针对印度的营销专业人员进行了一系列攻击，旨在劫持Facebook商业账户。

这次攻击与之前的攻击有所不同，之前的攻击主要使用.NET应用程序，而这次攻击则采用了Delphi作为编程语言。黑客团伙通过在Facebook上投放赞助广告来传播恶意广告，并部署能够窃取受害者登录凭证并最终控制其账户的恶意软件。这种攻击主要针对那些可能拥有Facebook商业账户访问权限的用户。黑客利用未经授权的访问权限发布广告以牟取利益，进一步传播感染。

2. 恶意软件的传播方式

在俄罗斯网络安全公司的调查中，他们发现黑客团伙通过发送包含恶意可执行文件的压缩文件来攻击潜在目标。这些文件会伪装成PDF文件，以PDF图标欺骗用户启动二进制文件。启动恶意文件后，它会将一个名为param.ps1的PowerShell脚本和一个伪装的PDF文档保存到Windows的“C:\Users\Public”文件夹中。脚本会使用设备上的默认PDF阅读器打开伪装文档，暂停五分钟，然后终止Chrome浏览器进程。同时，恶意软件还会下载并启动名为libEGL.dll的恶意库，扫描“C:\ProgramData\Microsoft\Windows\Start Menu\Programs”和“C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\”文件夹中的快捷方式（即LNK文件），以寻找基于Chromium的浏览器。

最新的Delphi动力恶意软件针对印度的营销人员进行了攻击，旨在劫持Facebook商业账户。黑客团伙采用了新的攻击方式，使用Delphi编程语言开发恶意软件。他们通过发送压缩文件伪装成PDF文件来传播恶意软件，然后通过修改浏览器的LNK快捷方式文件来劫持Facebook商业账户。这次攻击再次提醒我们网络安全的重要性，用户在使用电脑和浏览器时要保持警惕，不要轻易打开可疑的文件和链接，以防被黑客攻击。