Vietnamesiske hackere fisker for ofre som bruker Messenger

Et nylig phishing-angrep bruker Facebook Messenger til å distribuere meldinger som inneholder skadelige vedlegg. Disse meldingene sendes fra et stort antall fabrikkerte og kompromitterte personlige kontoer, med det endelige målet å få kontroll over mottakernes kontoer.

Denne kampanjen, som har blitt sporet tilbake til en gruppe basert i Vietnam, bruker et lite komprimert filvedlegg. Innenfor dette vedlegget er det et kraftig Python-basert stjeleskript som er distribuert gjennom en flertrinnsprosess som bruker enkle, men effektive tilsløringsteknikker. Guardio Labs-forsker Oleg Zaytsev ga en analyse av denne kampanjen, som ble publisert i helgen.

Ondsinnede arkiver brukes som agn

I disse angrepene, referert til som "MrTonyScam", mottar potensielle ofre meldinger som oppmuntrer dem til å klikke på RAR- og ZIP-arkivvedlegg. Ved å klikke på disse vedleggene utløses utrullingen av en dropper, som henter komponenten i neste trinn fra enten et GitHub- eller GitLab-lager.

Denne nyttelasten i neste trinn er nok en arkivfil som inneholder en CMD-fil. Inne i denne CMD-filen ligger et skjult Python-basert stjeleskript, designet for å fjerne alle informasjonskapsler og påloggingsinformasjon fra forskjellige nettlesere. Disse stjålne dataene sendes deretter til et Telegram- eller Discord API-endepunkt kontrollert av trusselaktøren.

Motstanderen bruker en utspekulert taktikk, da de sletter alle stjålne informasjonskapsler etter utvinning. Denne handlingen logger effektivt ofrene ut av kontoene deres. Deretter utnytter svindlerne de stjålne informasjonskapslene til å endre ofrenes passord og ta kontroll over kontoene deres.

Forbindelsen mellom trusselaktøren og Vietnam er tydelig i nærvær av vietnamesiske språkreferanser i Python som stjeler skriptets kildekode. I tillegg støtter inkluderingen av Coc Coc, en Chromium-basert nettleser populær i Vietnam, denne koblingen ytterligere.

Selv om det bør bemerkes at initiering av infeksjonen krever brukerinteraksjon for å laste ned, trekke ut og utføre vedlegget, har Guardio Labs rapportert en høy suksessrate for denne kampanjen. I løpet av de siste 30 dagene antas anslagsvis 1 av 250 mottakere å ha blitt offer for dette angrepet.

De fleste kompromissene har blitt observert i land som USA, Australia, Canada, Frankrike, Tyskland, Indonesia, Japan, Nepal, Spania, Filippinene og Vietnam, blant andre.