越南黑客使用 Messenger 對受害者進行網絡釣魚
最近的網絡釣魚攻擊利用 Facebook Messenger 分發包含有害附件的消息。這些消息是從大量偽造和受損的個人帳戶發送的,最終目的是獲得對收件人帳戶的控制權。
該活動可追溯到越南的一個組織,它使用了一個小型壓縮文件附件。在此附件中,有一個基於 Python 的強大竊取腳本,該腳本通過採用簡單而有效的混淆技術的多階段過程進行部署。 Guardio Labs 研究員 Oleg Zaytsev 提供了對此次活動的分析,該分析於週末發布。
惡意檔案用作誘餌
在這些被稱為“MrTonyScam”的攻擊中,潛在受害者會收到鼓勵他們單擊 RAR 和 ZIP 存檔附件的消息。單擊這些附件會觸發釋放器的部署,該釋放器從 GitHub 或 GitLab 存儲庫檢索下一階段的組件。
下一階段的有效負載是另一個包含 CMD 文件的存檔文件。這個 CMD 文件中包含一個基於 Python 的混淆腳本,旨在從各種 Web 瀏覽器中竊取所有 cookie 和登錄憑據。然後,這些被竊取的數據被發送到由威脅行為者控制的 Telegram 或 Discord API 端點。
對手採用了狡猾的策略,他們在提取後刪除所有被盜的 cookie。此操作有效地將受害者從他們的帳戶中註銷。隨後,詐騙者利用被盜的 cookie 更改受害者的密碼並控制他們的帳戶。
從 Python 竊取腳本的源代碼中存在越南語言引用,可以明顯看出威脅行為者與越南的聯繫。此外,Coc Coc(一種在越南流行的基於 Chromium 的瀏覽器)的包含進一步支持了此鏈接。
儘管需要注意的是,啟動感染需要用戶交互來下載、提取和執行附件,但 Guardio Labs 報告稱此活動的成功率很高。在過去 30 天裡,據估計每 250 名收件人中就有 1 人成為此次攻擊的受害者。
大多數妥協發生在美國、澳大利亞、加拿大、法國、德國、印度尼西亞、日本、尼泊爾、西班牙、菲律賓和越南等國家。