越南黑客使用 Messenger 對受害者進行網絡釣魚

最近的網絡釣魚攻擊利用 Facebook Messenger 分發包含有害附件的消息。這些消息是從大量偽造和受損的個人帳戶發送的，最終目的是獲得對收件人帳戶的控制權。

該活動可追溯到越南的一個組織，它使用了一個小型壓縮文件附件。在此附件中，有一個基於 Python 的強大竊取腳本，該腳本通過採用簡單而有效的混淆技術的多階段過程進行部署。 Guardio Labs 研究員 Oleg Zaytsev 提供了對此次活動的分析，該分析於週末發布。

惡意檔案用作誘餌

在這些被稱為“MrTonyScam”的攻擊中，潛在受害者會收到鼓勵他們單擊 RAR 和 ZIP 存檔附件的消息。單擊這些附件會觸發釋放器的部署，該釋放器從 GitHub 或 GitLab 存儲庫檢索下一階段的組件。

下一階段的有效負載是另一個包含 CMD 文件的存檔文件。這個 CMD 文件中包含一個基於 Python 的混淆腳本，旨在從各種 Web 瀏覽器中竊取所有 cookie 和登錄憑據。然後，這些被竊取的數據被發送到由威脅行為者控制的 Telegram 或 Discord API 端點。

對手採用了狡猾的策略，他們在提取後刪除所有被盜的 cookie。此操作有效地將受害者從他們的帳戶中註銷。隨後，詐騙者利用被盜的 cookie 更改受害者的密碼並控制他們的帳戶。

從 Python 竊取腳本的源代碼中存在越南語言引用，可以明顯看出威脅行為者與越南的聯繫。此外，Coc Coc（一種在越南流行的基於 Chromium 的瀏覽器）的包含進一步支持了此鏈接。

儘管需要注意的是，啟動感染需要用戶交互來下載、提取和執行附件，但 Guardio Labs 報告稱此活動的成功率很高。在過去 30 天裡，據估計每 250 名收件人中就有 1 人成為此次攻擊的受害者。

大多數妥協發生在美國、澳大利亞、加拿大、法國、德國、印度尼西亞、日本、尼泊爾、西班牙、菲律賓和越南等國家。