Vietnamo įsilaužėliai sukčiauja aukoms naudodami „Messenger“.
Neseniai įvykdyta sukčiavimo ataka naudoja „Facebook Messenger“, kad platintų pranešimus su kenksmingais priedais. Šie pranešimai siunčiami iš daugybės sukurtų ir pažeistų asmeninių paskyrų, kurių galutinis tikslas – įgyti gavėjų paskyrų kontrolę.
Šioje kampanijoje, kuri buvo atsekta iki grupės, įsikūrusios Vietname, naudojamas nedidelis suspausto failo priedas. Šiame priede yra galingas Python pagrindu sukurtas vagystės scenarijus, kuris yra įdiegtas per kelių etapų procesą, kuriame naudojami nesudėtingi, bet veiksmingi užmaskavimo metodai. „Guardio Labs“ tyrėjas Olegas Zaicevas pateikė šios kampanijos analizę, kuri buvo paskelbta savaitgalį.
Kenkėjiški archyvai, naudojami kaip masalas
Per šias atakas, vadinamas „MrTonyScam“, potencialios aukos gauna pranešimus, skatinančius spustelėti RAR ir ZIP archyvo priedus. Spustelėjus šiuos priedus, įjungiamas lašintuvas, kuris nuskaito kito etapo komponentą iš „GitHub“ arba „GitLab“ saugyklos.
Šis kito etapo naudingasis krovinys yra dar vienas archyvo failas, kuriame yra CMD failas. Šiame CMD faile yra paslėptas Python pagrindu sukurtas vagystės scenarijus, skirtas pašalinti visus slapukus ir prisijungimo duomenis iš įvairių žiniatinklio naršyklių. Tada šie sugadinti duomenys siunčiami į Telegram arba Discord API galutinį tašką, kurį kontroliuoja grėsmės veikėjas.
Priešas naudoja gudrią taktiką, nes po ištraukimo ištrina visus pavogtus slapukus. Šis veiksmas veiksmingai išregistruoja aukas iš savo paskyrų. Vėliau sukčiai pasinaudoja pavogtais slapukais, kad pakeistų aukų slaptažodžius ir perimtų jų paskyrų kontrolę.
Grėsmės veikėjo ryšys su Vietnamu akivaizdus, kai Python vagystės scenarijaus šaltinio kode yra vietnamiečių kalbos nuorodų. Be to, įtraukus Vietname populiarią „Chromium“ pagrįstą naršyklę „Coc Coc“, ši nuoroda dar labiau palaikoma.
Nors reikia pažymėti, kad norint pradėti užkrėsti, reikia naudotojo sąveikos, kad atsisiųstų, išgautų ir paleistų priedą, „Guardio Labs“ pranešė, kad ši kampanija buvo sėkminga. Manoma, kad per pastarąsias 30 dienų 1 iš 250 gavėjų tapo šio išpuolio aukomis.
Dauguma kompromisų buvo pastebėti tokiose šalyse kaip JAV, Australija, Kanada, Prancūzija, Vokietija, Indonezija, Japonija, Nepalas, Ispanija, Filipinai ir Vietnamas.
