Gli hacker vietnamiti phishing per le vittime utilizzando Messenger
Un recente attacco di phishing utilizza Facebook Messenger per distribuire messaggi contenenti allegati dannosi. Questi messaggi vengono inviati da un gran numero di account personali fabbricati e compromessi, con l'obiettivo finale di ottenere il controllo sugli account dei destinatari.
Questa campagna, che è stata fatta risalire a un gruppo con sede in Vietnam, utilizza un piccolo file compresso allegato. All'interno di questo allegato è presente un potente script di furto basato su Python che viene distribuito attraverso un processo in più fasi che impiega tecniche di offuscamento semplici ma efficaci. Il ricercatore di Guardio Labs, Oleg Zaytsev, ha fornito un'analisi di questa campagna, che è stata pubblicata durante il fine settimana.
Archivi dannosi usati come esca
In questi attacchi, denominati "MrTonyScam", le potenziali vittime ricevono messaggi che le incoraggiano a fare clic sugli allegati di archivio RAR e ZIP. Facendo clic su questi allegati si attiva la distribuzione di un dropper, che recupera il componente della fase successiva da un repository GitHub o GitLab.
Questo payload della fase successiva è ancora un altro file di archivio contenente un file CMD. All'interno di questo file CMD si trova uno script di furto offuscato basato su Python, progettato per sottrarre tutti i cookie e le credenziali di accesso da vari browser web. Questi dati rubati vengono quindi inviati a un endpoint API di Telegram o Discord controllato dall'autore della minaccia.
L'avversario utilizza una tattica astuta, poiché cancella tutti i cookie rubati dopo l'estrazione. Questa azione disconnette effettivamente le vittime dai loro account. Successivamente i truffatori sfruttano i cookie rubati per modificare le password delle vittime e assumere il controllo dei loro account.
Il collegamento dell'autore della minaccia al Vietnam è evidente dalla presenza di riferimenti alla lingua vietnamita all'interno del codice sorgente dello script per il furto di Python. Inoltre, l’inclusione di Coc Coc, un browser basato su Chromium popolare in Vietnam, supporta ulteriormente questo collegamento.
Anche se va notato che l'avvio dell'infezione richiede l'interazione dell'utente per scaricare, estrarre ed eseguire l'allegato, Guardio Labs ha segnalato un'elevata percentuale di successo per questa campagna. Si ritiene che negli ultimi 30 giorni circa 1 destinatario su 250 sia caduto vittima di questo attacco.
La maggior parte dei compromessi sono stati osservati in paesi come Stati Uniti, Australia, Canada, Francia, Germania, Indonesia, Giappone, Nepal, Spagna, Filippine e Vietnam, tra gli altri.
