Вьетнамские хакеры выманивают жертв с помощью Messenger

Недавняя фишинговая атака использовала Facebook Messenger для распространения сообщений, содержащих вредоносные вложения. Эти сообщения отправляются с большого количества сфабрикованных и скомпрометированных личных учетных записей с конечной целью получения контроля над учетными записями получателей.

В этой кампании, которая была прослежена до группы, базирующейся во Вьетнаме, используется небольшой вложенный сжатый файл. В этом приложении содержится мощный сценарий кражи на основе Python, который развертывается посредством многоэтапного процесса с использованием простых, но эффективных методов запутывания. Исследователь Guardio Labs Олег Зайцев представил анализ этой кампании, который был опубликован на выходных.

Вредоносные архивы используются как приманка

В ходе этих атак, получивших название «MrTonyScam», потенциальные жертвы получают сообщения, побуждающие их щелкнуть вложения архивов RAR и ZIP. Нажатие на эти вложения запускает развертывание дроппера, который извлекает компонент следующего этапа из репозитория GitHub или GitLab.

Эта полезная нагрузка следующего этапа представляет собой еще один архивный файл, содержащий файл CMD. Внутри этого CMD-файла находится запутанный скрипт кражи на основе Python, предназначенный для перехвата всех файлов cookie и учетных данных для входа из различных веб-браузеров. Эти украденные данные затем отправляются на конечную точку API Telegram или Discord, контролируемую злоумышленником.

Злоумышленник использует хитрую тактику: после извлечения он удаляет все украденные файлы cookie. Это действие фактически приводит к выходу жертв из их учетных записей. Впоследствии мошенники используют украденные файлы cookie, чтобы изменить пароли жертв и получить контроль над их учетными записями.

Связь злоумышленника с Вьетнамом очевидна по наличию ссылок на вьетнамский язык в исходном коде скрипта кражи Python. Кроме того, включение Coc Coc, браузера на базе Chromium, популярного во Вьетнаме, еще больше подтверждает эту ссылку.

Хотя следует отметить, что инициирование заражения требует взаимодействия с пользователем для загрузки, извлечения и выполнения вложения, компания Guardio Labs сообщила о высоком уровне успеха этой кампании. Предполагается, что за последние 30 дней жертвой этой атаки стал примерно 1 из каждых 250 получателей.

Большинство компромиссов наблюдалось в таких странах, как США, Австралия, Канада, Франция, Германия, Индонезия, Япония, Непал, Испания, Филиппины и Вьетнам, среди других.