Des pirates vietnamiens hameçonnent leurs victimes en utilisant Messenger
Une récente attaque de phishing utilise Facebook Messenger pour distribuer des messages contenant des pièces jointes nuisibles. Ces messages sont envoyés à partir d'un grand nombre de comptes personnels fabriqués et compromis, dans le but ultime de prendre le contrôle des comptes des destinataires.
Cette campagne, qui remonte à un groupe basé au Vietnam, utilise une petite pièce jointe compressée. Dans cette pièce jointe, il existe un puissant script de vol basé sur Python qui est déployé via un processus en plusieurs étapes qui utilise des techniques d'obscurcissement simples mais efficaces. Le chercheur de Guardio Labs, Oleg Zaytsev, a fourni une analyse de cette campagne, publiée ce week-end.
Des archives malveillantes utilisées comme appât
Dans ces attaques, appelées « MrTonyScam », les victimes potentielles reçoivent des messages qui les encouragent à cliquer sur les pièces jointes des archives RAR et ZIP. Cliquer sur ces pièces jointes déclenche le déploiement d'un compte-gouttes, qui récupère le composant de l'étape suivante à partir d'un référentiel GitHub ou GitLab.
Cette charge utile de l'étape suivante est encore un autre fichier d'archive contenant un fichier CMD. À l’intérieur de ce fichier CMD se trouve un script de vol basé sur Python, conçu pour siphonner tous les cookies et informations de connexion de divers navigateurs Web. Ces données volées sont ensuite envoyées à un point de terminaison d’API Telegram ou Discord contrôlé par l’acteur menaçant.
L’adversaire utilise une tactique astucieuse, car il supprime tous les cookies volés après extraction. Cette action déconnecte effectivement les victimes de leurs comptes. Par la suite, les escrocs exploitent les cookies volés pour modifier les mots de passe des victimes et prendre le contrôle de leurs comptes.
Le lien entre l'acteur menaçant et le Vietnam est évident dans la présence de références en langue vietnamienne dans le code source du script de vol Python. De plus, l'inclusion de Coc Coc, un navigateur basé sur Chromium populaire au Vietnam, renforce encore ce lien.
Bien qu'il convient de noter que le lancement de l'infection nécessite une interaction de l'utilisateur pour télécharger, extraire et exécuter la pièce jointe, Guardio Labs a signalé un taux de réussite élevé pour cette campagne. Au cours des 30 derniers jours, on estime qu’un destinataire sur 250 a été victime de cette attaque.
La plupart des compromis ont été observés dans des pays comme les États-Unis, l’Australie, le Canada, la France, l’Allemagne, l’Indonésie, le Japon, le Népal, l’Espagne, les Philippines et le Vietnam, entre autres.