越南黑客使用 Messenger 对受害者进行网络钓鱼
最近的网络钓鱼攻击利用 Facebook Messenger 分发包含有害附件的消息。这些消息是从大量伪造和受损的个人帐户发送的,最终目的是获得对收件人帐户的控制权。
该活动可追溯到越南的一个组织,它使用了一个小型压缩文件附件。在此附件中,有一个基于 Python 的强大窃取脚本,该脚本通过采用简单而有效的混淆技术的多阶段过程进行部署。 Guardio Labs 研究员 Oleg Zaytsev 提供了对此次活动的分析,该分析于周末发布。
恶意档案用作诱饵
在这些被称为“MrTonyScam”的攻击中,潜在受害者会收到鼓励他们单击 RAR 和 ZIP 存档附件的消息。单击这些附件会触发释放器的部署,该释放器从 GitHub 或 GitLab 存储库检索下一阶段的组件。
下一阶段的有效负载是另一个包含 CMD 文件的存档文件。这个 CMD 文件中包含一个基于 Python 的混淆脚本,旨在从各种 Web 浏览器中窃取所有 cookie 和登录凭据。然后,这些被窃取的数据被发送到由威胁行为者控制的 Telegram 或 Discord API 端点。
对手采用了狡猾的策略,他们在提取后删除所有被盗的 cookie。此操作有效地将受害者从他们的帐户中注销。随后,诈骗者利用被盗的 cookie 更改受害者的密码并控制他们的帐户。
从 Python 窃取脚本的源代码中存在越南语言引用,可以明显看出威胁行为者与越南的联系。此外,Coc Coc(一种在越南流行的基于 Chromium 的浏览器)的包含进一步支持了此链接。
尽管需要注意的是,启动感染需要用户交互来下载、提取和执行附件,但 Guardio Labs 报告称此活动的成功率很高。在过去 30 天里,据估计每 250 名收件人中就有 1 人成为此次攻击的受害者。
大多数妥协发生在美国、澳大利亚、加拿大、法国、德国、印度尼西亚、日本、尼泊尔、西班牙、菲律宾和越南等国家。