Βιετναμέζοι χάκερ ψαρεύουν θύματα χρησιμοποιώντας Messenger

Μια πρόσφατη επίθεση phishing χρησιμοποιεί το Facebook Messenger για τη διανομή μηνυμάτων που περιέχουν επιβλαβή συνημμένα. Αυτά τα μηνύματα αποστέλλονται από μεγάλο αριθμό κατασκευασμένων και παραβιασμένων προσωπικών λογαριασμών, με απώτερο στόχο να αποκτήσουν τον έλεγχο των λογαριασμών των παραληπτών.

Αυτή η καμπάνια, η οποία έχει εντοπιστεί σε μια ομάδα με έδρα το Βιετνάμ, χρησιμοποιεί ένα μικρό συμπιεσμένο αρχείο συνημμένου. Μέσα σε αυτό το συνημμένο, υπάρχει ένα ισχυρό σενάριο κλοπής που βασίζεται σε Python που αναπτύσσεται μέσω μιας διαδικασίας πολλαπλών σταδίων που χρησιμοποιεί απλές αλλά αποτελεσματικές τεχνικές συσκότισης. Ο ερευνητής των εργαστηρίων Guardio, Oleg Zaytsev, παρείχε μια ανάλυση αυτής της εκστρατείας, η οποία δημοσιεύτηκε το Σαββατοκύριακο.

Κακόβουλα αρχεία που χρησιμοποιούνται ως δόλωμα

Σε αυτές τις επιθέσεις, που αναφέρονται ως "MrTonyScam", τα πιθανά θύματα λαμβάνουν μηνύματα που τα ενθαρρύνουν να κάνουν κλικ σε συνημμένα αρχεία RAR και ZIP. Κάνοντας κλικ σε αυτά τα συνημμένα ενεργοποιείται η ανάπτυξη ενός σταγονόμετρου, το οποίο ανακτά το στοιχείο επόμενου σταδίου είτε από ένα αποθετήριο GitHub είτε από GitLab.

Αυτό το ωφέλιμο φορτίο επόμενου σταδίου είναι ένα ακόμη αρχείο αρχειοθέτησης που περιέχει ένα αρχείο CMD. Μέσα σε αυτό το αρχείο CMD βρίσκεται ένα συγκεχυμένο σενάριο κλοπής που βασίζεται σε Python, σχεδιασμένο για να αφαιρεί όλα τα cookies και τα διαπιστευτήρια σύνδεσης από διάφορα προγράμματα περιήγησης ιστού. Αυτά τα κλοπιμαία δεδομένα αποστέλλονται στη συνέχεια σε ένα τελικό σημείο Telegram ή Discord API που ελέγχεται από τον παράγοντα απειλής.

Ο αντίπαλος εφαρμόζει μια πονηρή τακτική, καθώς διαγράφει όλα τα κλεμμένα cookies μετά την εξαγωγή. Αυτή η ενέργεια αποσυνδέει αποτελεσματικά τα θύματα από τους λογαριασμούς τους. Στη συνέχεια, οι απατεώνες εκμεταλλεύονται τα κλεμμένα cookies για να αλλάξουν τους κωδικούς πρόσβασης των θυμάτων και να πάρουν τον έλεγχο των λογαριασμών τους.

Η σύνδεση του ηθοποιού απειλής με το Βιετνάμ είναι εμφανής με την παρουσία αναφορών στη βιετναμέζικη γλώσσα στον πηγαίο κώδικα του σεναρίου που κλέβει την Python. Επιπλέον, η συμπερίληψη του Coc Coc, ενός προγράμματος περιήγησης που βασίζεται σε Chromium, δημοφιλές στο Βιετνάμ, υποστηρίζει περαιτέρω αυτόν τον σύνδεσμο.

Αν και θα πρέπει να σημειωθεί ότι η έναρξη της μόλυνσης απαιτεί την αλληλεπίδραση του χρήστη για τη λήψη, την εξαγωγή και την εκτέλεση του συνημμένου, η Guardio Labs έχει αναφέρει υψηλό ποσοστό επιτυχίας για αυτήν την καμπάνια. Τις τελευταίες 30 ημέρες, περίπου 1 στους 250 παραλήπτες πιστεύεται ότι έπεσε θύμα αυτής της επίθεσης.

Οι περισσότεροι από τους συμβιβασμούς έχουν παρατηρηθεί σε χώρες όπως οι Ηνωμένες Πολιτείες, η Αυστραλία, ο Καναδάς, η Γαλλία, η Γερμανία, η Ινδονησία, η Ιαπωνία, το Νεπάλ, η Ισπανία, οι Φιλιππίνες και το Βιετνάμ, μεταξύ άλλων.