Wietnamscy hakerzy wyłudzają ofiary za pomocą komunikatora

Niedawny atak phishingowy polega na wykorzystaniu programu Facebook Messenger do dystrybucji wiadomości zawierających szkodliwe załączniki. Wiadomości te są wysyłane z dużej liczby sfabrykowanych i zhakowanych kont osobistych, a ostatecznym celem jest przejęcie kontroli nad kontami odbiorców.

W tej kampanii, której początki sięgają grupy z Wietnamu, wykorzystano mały, skompresowany plik w załączniku. W tym załączniku znajduje się skuteczny skrypt kradnący oparty na języku Python, który jest wdrażany w ramach wieloetapowego procesu wykorzystującego proste, ale skuteczne techniki zaciemniania. Badacz Guardio Labs, Oleg Zaytsev, przedstawił analizę tej kampanii, która została opublikowana w weekend.

Złośliwe archiwa wykorzystywane jako przynęta

W przypadku tych ataków, nazywanych „MrTonyScam”, potencjalne ofiary otrzymują wiadomości zachęcające je do kliknięcia załączników archiwów RAR i ZIP. Kliknięcie tych załączników wyzwala wdrożenie droppera, który pobiera komponent następnego etapu z repozytorium GitHub lub GitLab.

Ten ładunek następnego etapu to kolejny plik archiwum zawierający plik CMD. Wewnątrz tego pliku CMD znajduje się zaciemniony skrypt kradnący oparty na języku Python, którego zadaniem jest pobieranie wszystkich plików cookie i danych logowania z różnych przeglądarek internetowych. Te wykradzione dane są następnie wysyłane do punktu końcowego interfejsu API Telegramu lub Discord kontrolowanego przez osobę zagrażającą.

Przeciwnik stosuje przebiegłą taktykę, ponieważ po wyodrębnieniu usuwa wszystkie skradzione pliki cookie. Ta akcja skutecznie wylogowuje ofiary z ich kont. Następnie oszuści wykorzystują skradzione pliki cookie do zmiany haseł ofiar i przejęcia kontroli nad ich kontami.

Powiązanie podmiotu stwarzającego zagrożenie z Wietnamem jest oczywiste w obecności odniesień w języku wietnamskim w kodzie źródłowym skryptu kradnącego język Python. Dodatkowo dodanie Coc Coc, popularnej w Wietnamie przeglądarki opartej na Chromium, dodatkowo wspiera to łącze.

Chociaż należy zauważyć, że zainicjowanie infekcji wymaga interakcji użytkownika w celu pobrania, wyodrębnienia i uruchomienia załącznika, Guardio Labs odnotowało wysoki wskaźnik powodzenia tej kampanii. Szacuje się, że w ciągu ostatnich 30 dni 1 na 250 odbiorców padł ofiarą tego ataku.

Większość kompromisów zaobserwowano m.in. w takich krajach jak Stany Zjednoczone, Australia, Kanada, Francja, Niemcy, Indonezja, Japonia, Nepal, Hiszpania, Filipiny i Wietnam.