Des pirates vietnamiens hameçonnent leurs victimes en utilisant Messenger

Une récente attaque de phishing utilise Facebook Messenger pour distribuer des messages contenant des pièces jointes nuisibles. Ces messages sont envoyés à partir d'un grand nombre de comptes personnels fabriqués et compromis, dans le but ultime de prendre le contrôle des comptes des destinataires.

Cette campagne, qui remonte à un groupe basé au Vietnam, utilise une petite pièce jointe compressée. Dans cette pièce jointe, il existe un puissant script de vol basé sur Python qui est déployé via un processus en plusieurs étapes qui utilise des techniques d'obscurcissement simples mais efficaces. Le chercheur de Guardio Labs, Oleg Zaytsev, a fourni une analyse de cette campagne, publiée ce week-end.

Des archives malveillantes utilisées comme appât

Dans ces attaques, appelées « MrTonyScam », les victimes potentielles reçoivent des messages qui les encouragent à cliquer sur les pièces jointes des archives RAR et ZIP. Cliquer sur ces pièces jointes déclenche le déploiement d'un compte-gouttes, qui récupère le composant de l'étape suivante à partir d'un référentiel GitHub ou GitLab.

Cette charge utile de l'étape suivante est encore un autre fichier d'archive contenant un fichier CMD. À l’intérieur de ce fichier CMD se trouve un script de vol basé sur Python, conçu pour siphonner tous les cookies et informations de connexion de divers navigateurs Web. Ces données volées sont ensuite envoyées à un point de terminaison d’API Telegram ou Discord contrôlé par l’acteur menaçant.

L’adversaire utilise une tactique astucieuse, car il supprime tous les cookies volés après extraction. Cette action déconnecte effectivement les victimes de leurs comptes. Par la suite, les escrocs exploitent les cookies volés pour modifier les mots de passe des victimes et prendre le contrôle de leurs comptes.

Le lien entre l'acteur menaçant et le Vietnam est évident dans la présence de références en langue vietnamienne dans le code source du script de vol Python. De plus, l'inclusion de Coc Coc, un navigateur basé sur Chromium populaire au Vietnam, renforce encore ce lien.

Bien qu'il convient de noter que le lancement de l'infection nécessite une interaction de l'utilisateur pour télécharger, extraire et exécuter la pièce jointe, Guardio Labs a signalé un taux de réussite élevé pour cette campagne. Au cours des 30 derniers jours, on estime qu’un destinataire sur 250 a été victime de cette attaque.

La plupart des compromis ont été observés dans des pays comme les États-Unis, l’Australie, le Canada, la France, l’Allemagne, l’Indonésie, le Japon, le Népal, l’Espagne, les Philippines et le Vietnam, entre autres.

Par Zaib
September 11, 2023
Computer Security
Français
September 11, 2023
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.