Vietnamesiske hackere phish for ofre, der bruger Messenger

Et nyligt phishing-angreb bruger Facebook Messenger til at distribuere meddelelser, der indeholder skadelige vedhæftede filer. Disse beskeder sendes fra et stort antal opdigtede og kompromitterede personlige konti, med det ultimative mål at få kontrol over modtagernes konti.

Denne kampagne, som er blevet sporet tilbage til en gruppe baseret i Vietnam, anvender en lille komprimeret fil vedhæftet fil. Inden for denne vedhæftede fil er der et potent Python-baseret stjælescript, der implementeres gennem en flertrinsproces, der anvender ligetil, men effektive sløringsteknikker. Guardio Labs-forsker Oleg Zaytsev leverede en analyse af denne kampagne, som blev offentliggjort i weekenden.

Ondsindede arkiver bruges som lokkemad

I disse angreb, kaldet "MrTonyScam", modtager potentielle ofre beskeder, der opfordrer dem til at klikke på RAR- og ZIP-arkivvedhæftede filer. Hvis du klikker på disse vedhæftede filer, udløses implementeringen af en dropper, som henter komponenten i næste trin fra enten et GitHub- eller GitLab-lager.

Denne nyttelast i næste trin er endnu en arkivfil, der indeholder en CMD-fil. Inde i denne CMD-fil ligger et sløret Python-baseret stjælescript, designet til at fjerne alle cookies og loginoplysninger fra forskellige webbrowsere. Disse stjålne data sendes derefter til et Telegram- eller Discord API-slutpunkt, der kontrolleres af trusselsaktøren.

Modstanderen bruger en snedig taktik, da de sletter alle stjålne cookies efter udtrækning. Denne handling logger effektivt ofrene ud af deres konti. Efterfølgende udnytter svindlerne de stjålne cookies til at ændre ofrenes adgangskoder og tage kontrol over deres konti.

Trusselsaktørens forbindelse til Vietnam er tydelig i tilstedeværelsen af vietnamesiske sprogreferencer i Python, der stjæler scriptets kildekode. Derudover understøtter inkluderingen af Coc Coc, en Chromium-baseret browser populær i Vietnam, yderligere dette link.

Selvom det skal bemærkes, at initiering af infektionen nødvendiggør brugerinteraktion for at downloade, udtrække og udføre den vedhæftede fil, har Guardio Labs rapporteret en høj succesrate for denne kampagne. I løbet af de seneste 30 dage menes det, at 1 ud af hver 250 modtagere er blevet ofre for dette angreb.

De fleste af kompromiserne er blevet observeret i lande som USA, Australien, Canada, Frankrig, Tyskland, Indonesien, Japan, Nepal, Spanien, Filippinerne og Vietnam, blandt andre.