越南黑客使用 Messenger 对受害者进行网络钓鱼

最近的网络钓鱼攻击利用 Facebook Messenger 分发包含有害附件的消息。这些消息是从大量伪造和受损的个人帐户发送的，最终目的是获得对收件人帐户的控制权。

该活动可追溯到越南的一个组织，它使用了一个小型压缩文件附件。在此附件中，有一个基于 Python 的强大窃取脚本，该脚本通过采用简单而有效的混淆技术的多阶段过程进行部署。 Guardio Labs 研究员 Oleg Zaytsev 提供了对此次活动的分析，该分析于周末发布。

恶意档案用作诱饵

在这些被称为“MrTonyScam”的攻击中，潜在受害者会收到鼓励他们单击 RAR 和 ZIP 存档附件的消息。单击这些附件会触发释放器的部署，该释放器从 GitHub 或 GitLab 存储库检索下一阶段的组件。

下一阶段的有效负载是另一个包含 CMD 文件的存档文件。这个 CMD 文件中包含一个基于 Python 的混淆脚本，旨在从各种 Web 浏览器中窃取所有 cookie 和登录凭据。然后，这些被窃取的数据被发送到由威胁行为者控制的 Telegram 或 Discord API 端点。

对手采用了狡猾的策略，他们在提取后删除所有被盗的 cookie。此操作有效地将受害者从他们的帐户中注销。随后，诈骗者利用被盗的 cookie 更改受害者的密码并控制他们的帐户。

从 Python 窃取脚本的源代码中存在越南语言引用，可以明显看出威胁行为者与越南的联系。此外，Coc Coc（一种在越南流行的基于 Chromium 的浏览器）的包含进一步支持了此链接。

尽管需要注意的是，启动感染需要用户交互来下载、提取和执行附件，但 Guardio Labs 报告称此活动的成功率很高。在过去 30 天里，据估计每 250 名收件人中就有 1 人成为此次攻击的受害者。

大多数妥协发生在美国、澳大利亚、加拿大、法国、德国、印度尼西亚、日本、尼泊尔、西班牙、菲律宾和越南等国家。