Nový phishingový útok využívá Facebook Messenger k šíření zpráv se škodlivými přílohami s konečným cílem převzít obchodní účty cílů.
„Tato kampaň, která opět pochází od vietnamské skupiny, používá malou komprimovanou přílohu, která obsahuje výkonný stealer na bázi Pythonu, který byl spuštěn ve vícestupňovém procesu plném jednoduchých, ale účinných metod mlžení,“ řekl výzkumník Guardio Labs Oleg Zaytsev.
V těchto útocích, nazývaných MrTonyScam, jsou potenciálním obětem posílány zprávy, které je lákají ke kliknutí na přílohy RAR a ZIP archivu, což vede k nasazení dropperu, který načte další fázi z úložiště GitHub nebo GitLab.
Toto užitečné zatížení je dalším archivním souborem, který obsahuje soubor CMD, který zase ukrývá zloděje založeného na Pythonu, aby exfiltroval všechny soubory cookie a přihlašovací údaje z různých webových prohlížečů do koncového bodu na Telegramu nebo Discordu.
Chytrá taktika zahrnuje vymazání všech cookies po jejich krádeži, efektivní odhlášení obětí z jejich vlastních účtů, v tomto okamžiku podvodníci unesou jejich relace pomocí ukradených cookies, aby změnili hesla a získali nad účty kontrolu.
Odkazy aktéra hrozby na Vietnam pocházejí z přítomnosti vietnamských jazykových odkazů ve zdrojovém kódu a zahrnutí Cốc Cốc, prohlížeče založeného na Chromu, který je v zemi populární.
Navzdory skutečnosti, že spuštění infekce vyžaduje interakci uživatele ke stažení souboru, rozbalení a spuštění přílohy, Guardio Labs zjistila, že kampaň zaznamenala vysokou úspěšnost, kdy se odhaduje, že 1 z 250 obětí byla infikována.
Většina napadení byla hlášena mimo jiné v USA, Austrálii, Kanadě, Francii, Německu, Indonésii, Japonsku, Nepálu, Španělsku, na Filipínách a ve Vietnamu.
„Facebookové účty s reputací, hodnocením prodejce a vysokým počtem sledujících lze snadno zpeněžit na nelegálních trzích,“ řekl Zaytsev. „Ty se používají k oslovení širokého publika k šíření reklam a dalších podvodů.“
Zveřejnění přichází několik dní poté, co WithSecure a Zscaler ThreatLabz podrobně popsaly nové kampaně Ducktail a Duckport, které cílí na účty Meta Business a Facebook pomocí taktiky malverpostingu.
„Vietnamsky zaměřený prvek těchto hrozeb a vysoký stupeň překrývání, pokud jde o schopnosti, infrastrukturu a viktimologii, naznačuje aktivní pracovní vztahy mezi různými aktéry hrozeb, sdílené nástroje a TTP napříč těmito skupinami hrozeb nebo roztříštěného a na služby orientovaného vietnamského kyberzločince, ekosystém (podobný modelu ransomware-as-a-service) soustředěný kolem platforem sociálních médií, jako je Facebook,“ poznamenal WithSecure.
Zdroj: thehackernews.com