Vietnámi hackerek adathalászat áldozatainak a Messenger segítségével

A közelmúltban egy adathalász támadás a Facebook Messenger alkalmazást használja káros mellékleteket tartalmazó üzenetek terjesztésére. Ezeket az üzeneteket nagyszámú kitalált és feltört személyes fiókból küldik, azzal a végső céllal, hogy megszerezzék az irányítást a címzettek fiókjai felett.

Ez a kampány, amely egy vietnami székhelyű csoportra vezethető vissza, egy kis tömörített fájlmellékletet alkalmaz. Ezen a mellékleten belül van egy hatékony Python-alapú lopási szkript, amelyet többlépcsős folyamaton keresztül telepítenek, amely egyszerű, de hatékony elfedési technikákat alkalmaz. A Guardio Labs kutatója, Oleg Zaytsev elemzést készített erről a kampányról, amelyet a hétvégén tettek közzé.

Csaliként használt rosszindulatú archívumok

Ezekben a "MrTonyScam" néven emlegetett támadásokban a potenciális áldozatok üzeneteket kapnak, amelyek arra ösztönzik őket, hogy kattintson a RAR és ZIP archív mellékletekre. Ha ezekre a mellékletekre kattint, egy dropper üzembe helyezését indítja el, amely lekéri a GitHub vagy a GitLab lerakatából a következő fázisú összetevőt.

Ez a következő fokozatú rakomány egy újabb archív fájl, amely egy CMD-fájlt tartalmaz. Ebben a CMD-fájlban egy elhomályosított Python-alapú lopási szkript található, amelyet úgy terveztek, hogy kiszívja az összes cookie-t és a különböző webböngészők bejelentkezési hitelesítő adatait. Ezeket az ellopott adatokat ezután a fenyegetés szereplője által irányított Telegram vagy Discord API-végpontra küldik.

Az ellenfél ravasz taktikát alkalmaz, mivel a kivonás után töröl minden ellopott sütit. Ez a művelet hatékonyan naplózza az áldozatokat a fiókjukból. Ezt követően a csalók az ellopott sütiket kihasználva megváltoztatják az áldozatok jelszavát, és átveszik az irányítást a fiókjaik felett.

A fenyegetés szereplőjének Vietnammal való kapcsolata nyilvánvaló a vietnami nyelvű hivatkozások jelenlétében a Python ellopó szkriptjének forráskódjában. Ezenkívül a Coc Coc, a Vietnamban népszerű Chromium-alapú böngésző beépítése tovább támogatja ezt a hivatkozást.

Bár meg kell jegyezni, hogy a fertőzés elindítása felhasználói beavatkozást tesz szükségessé a melléklet letöltéséhez, kibontásához és végrehajtásához, a Guardio Labs a kampány magas sikerességi arányáról számolt be. Az elmúlt 30 napban a becslések szerint minden 250 címzettből egy esett áldozatul ennek a támadásnak.

A legtöbb kompromisszumot többek között az Egyesült Államokban, Ausztráliában, Kanadában, Franciaországban, Németországban, Indonéziában, Japánban, Nepálban, Spanyolországban, a Fülöp-szigeteken és Vietnamban figyelték meg.