Hackers vietnamitas procuram vítimas usando o Messenger

Um recente ataque de phishing está utilizando o Facebook Messenger para distribuir mensagens contendo anexos prejudiciais. Estas mensagens são enviadas a partir de um grande número de contas pessoais fabricadas e comprometidas, com o objetivo final de obter controlo sobre as contas dos destinatários.

Esta campanha, que remonta a um grupo baseado no Vietname, utiliza um pequeno ficheiro comprimido anexado. Dentro deste anexo, há um poderoso script de roubo baseado em Python que é implantado por meio de um processo de vários estágios que emprega técnicas de ofuscação simples, porém eficazes. O pesquisador do Guardio Labs, Oleg Zaytsev, forneceu uma análise desta campanha, que foi publicada no fim de semana.

Arquivos maliciosos usados como isca

Nestes ataques, conhecidos como "MrTonyScam", as vítimas potenciais recebem mensagens que as incentivam a clicar em anexos de arquivos RAR e ZIP. Clicar nesses anexos aciona a implantação de um conta-gotas, que recupera o componente do próximo estágio de um repositório GitHub ou GitLab.

Esta carga útil do próximo estágio é outro arquivo contendo um arquivo CMD. Dentro deste arquivo CMD encontra-se um script de roubo ofuscado baseado em Python, projetado para desviar todos os cookies e credenciais de login de vários navegadores da web. Esses dados furtados são então enviados para um endpoint da API Telegram ou Discord controlado pelo autor da ameaça.

O adversário emprega uma tática astuta, pois exclui todos os cookies roubados após a extração. Esta ação efetivamente desconecta as vítimas de suas contas. Posteriormente, os golpistas exploram os cookies roubados para alterar as senhas das vítimas e assumir o controle de suas contas.

A conexão do ator da ameaça com o Vietnã é evidente na presença de referências ao idioma vietnamita no código-fonte do script de roubo do Python. Além disso, a inclusão do Coc Coc, um navegador baseado em Chromium popular no Vietnã, apoia ainda mais este link.

Embora deva ser observado que o início da infecção requer interação do usuário para baixar, extrair e executar o anexo, Guardio Labs relatou uma alta taxa de sucesso para esta campanha. Nos últimos 30 dias, estima-se que 1 em cada 250 destinatários tenha sido vítima deste ataque.

A maioria dos compromissos foi observada em países como os Estados Unidos, Austrália, Canadá, França, Alemanha, Indonésia, Japão, Nepal, Espanha, Filipinas e Vietname, entre outros.