ベトナムのハッカーがメッセンジャーを使って被害者をフィッシング

最近のフィッシング攻撃では、Facebook Messenger を利用して、有害な添付ファイルを含むメッセージが配布されています。これらのメッセージは、受信者のアカウントを制御することを最終的な目的として、捏造され侵害された多数の個人アカウントから送信されます。

このキャンペーンはベトナムに拠点を置くグループに遡り、小さな圧縮ファイルの添付ファイルが使用されています。この添付ファイル内には、簡単かつ効果的な難読化技術を採用した複数段階のプロセスを通じてデプロイされる、強力な Python ベースの盗用スクリプトが含まれています。 Guardio Labs の研究者である Oleg Zaytsev 氏がこのキャンペーンの分析を提供し、週末に発表されました。

おとりとして使用される悪意のあるアーカイブ

「MrTonyScam」と呼ばれるこれらの攻撃では、潜在的な被害者は、RAR および ZIP アーカイブの添付ファイルをクリックするよう促すメッセージを受け取ります。これらの添付ファイルをクリックすると、ドロッパーのデプロイメントがトリガーされ、GitHub または GitLab リポジトリから次の段階のコンポーネントが取得されます。

この次の段階のペイロードは、CMD ファイルを含むさらに別のアーカイブ ファイルです。この CMD ファイル内には、さまざまな Web ブラウザからすべての Cookie とログイン資格情報を吸い出すように設計された、難読化された Python ベースの窃取スクリプトが存在します。これらの盗まれたデータは、脅威アクターが制御する Telegram または Discord API エンドポイントに送信されます。

攻撃者は、抽出後に盗んだすべての Cookie を削除するという狡猾な戦術を採用します。このアクションにより、被害者は事実上アカウントからログアウトされます。その後、詐欺師は盗んだ Cookie を悪用して被害者のパスワードを変更し、アカウントを制御します。

脅威アクターとベトナムとの関係は、Python 盗用スクリプトのソース コード内にベトナム語への参照が存在することから明らかです。さらに、ベトナムで人気のある Chromium ベースのブラウザである Coc Coc が含まれていることにより、このリンクがさらにサポートされます。

感染を開始するには、添付ファイルをダウンロード、抽出、実行するためのユーザーの操作が必要であることに注意する必要がありますが、Guardio Labs はこのキャンペーンの高い成功率を報告しています。過去 30 日間で、受信者 250 人に 1 人がこの攻撃の被害を受けたと推定されています。

侵害のほとんどは、米国、オーストラリア、カナダ、フランス、ドイツ、インドネシア、日本、ネパール、スペイン、フィリピン、ベトナムなどの国々で確認されています。