Το κύμα phishing του Facebook Messenger στοχεύει 100.000 επαγγελματικούς λογαριασμούς την εβδομάδα
Οι χάκερ χρησιμοποιούν ένα τεράστιο δίκτυο ψεύτικων και παραβιασμένων λογαριασμών
Facebook
για να στείλουν εκατομμύρια μηνύματα ηλεκτρονικού ψαρέματος στο Messenger για να στοχεύσουν επιχειρηματικούς λογαριασμούς στο Facebook με κακόβουλο λογισμικό που κλέβει κωδικό πρόσβασης.
Οι επιτιθέμενοι ξεγελούν τους στόχους για να κατεβάσουν ένα αρχείο RAR/ZIP που περιέχει ένα πρόγραμμα λήψης για έναν κλέφτη που βασίζεται στην Python που αποφεύγει να αρπάξει cookies και κωδικούς πρόσβασης που είναι αποθηκευμένοι στο πρόγραμμα περιήγησης του θύματος.
Σε νέα αναφορά του
Εργαστήρια Guardio
οι ερευνητές προειδοποιούν ότι περίπου ένας στους εβδομήντα στοχευμένους λογαριασμούς είναι τελικά σε κίνδυνο, μεταφράζοντας σε τεράστιες οικονομικές απώλειες.
Ψάρεμα του Facebook Messenger
Οι χάκερ ξεκινούν στέλνοντας μηνύματα ηλεκτρονικού ψαρέματος στο Messenger σε επαγγελματικούς λογαριασμούς στο Facebook που προσποιούνται ότι αποτελούν παραβιάσεις πνευματικών δικαιωμάτων ή ζητούν περισσότερες πληροφορίες σχετικά με ένα προϊόν.
Μήνυμα phishing στο Messenger
(Εργαστήρια Guardio)
Το συνημμένο αρχείο περιέχει ένα αρχείο δέσμης που, εάν εκτελεστεί, ανακτά ένα σταγονόμετρο κακόβουλου λογισμικού από τα αποθετήρια GitHub για να αποφύγει τις λίστες αποκλεισμού και να ελαχιστοποιήσει τα διακριτικά ίχνη.
Μαζί με το ωφέλιμο φορτίο (project.py), το σενάριο δέσμης ανακτά επίσης ένα αυτόνομο περιβάλλον Python που απαιτείται από το κακόβουλο λογισμικό
πληροφορική
ς κλοπής και προσθέτει επιμονή ρυθμίζοντας το δυαδικό σύστημα κλοπής για εκτέλεση κατά την εκκίνηση του συστήματος.
Το αρχείο project.py διαθέτει πέντε επίπεδα συσκότισης, που το καθιστούν
προκλητική
ώστε οι κινητήρες AV να συλλάβουν την απειλή.
Μέρος του κωδικού του ωφέλιμου φορτίου
(Εργαστήρια Guardio)
Το κακόβουλο λογισμικό συλλέγει όλα τα cookie και τα δεδομένα σύνδεσης που είναι αποθηκευμένα στο πρόγραμμα περιήγησης ιστού του θύματος σε ένα αρχείο ZIP με το όνομα «Document.zip». Στη συνέχεια στέλνει τις κλεμμένες πληροφορίες στους εισβολείς μέσω του
Telegram
ή του Discord bot API.
Τέλος, ο κλέφτης σκουπίζει όλα τα cookies από τη
συσκευή
του θύματος για να αποσυνδεθεί από τους λογαριασμούς του, δίνοντας στους απατεώνες αρκετό χρόνο για να παραβιάσουν τον πρόσφατα παραβιασμένο λογαριασμό αλλάζοντας τους κωδικούς πρόσβασης.
Καθώς μπορεί να χρειαστεί λίγος χρόνος για να απαντήσουν οι εταιρείες μέσων κοινωνικής δικτύωσης σε μηνύματα ηλεκτρονικού ταχυδρομείου σχετικά με παραβιασμένους λογαριασμούς, δίνει στους παράγοντες της απειλής χρόνο να διεξάγουν δόλιες δραστηριότητες με τους παραβιασμένους λογαριασμούς.
Πλήρης αλυσίδα επίθεσης
(Εργαστήρια Guardio)
Κλίμακα της καμπάνιας
Αν και η αλυσίδα επιθέσεων δεν είναι καινοφανής, η κλίμακα της εκστρατείας που παρατηρείται από τα εργαστήρια Guardio είναι ανησυχητική.
Οι ερευνητές αναφέρουν περίπου 100.000 μηνύματα ηλεκτρονικού ψαρέματος την εβδομάδα, που αποστέλλονται κυρίως σε χρήστες του Facebook στη Βόρεια Αμερική, την Ευρώπη, την Αυστραλία, την
Ιαπωνία
και τη Νοτιοανατολική Ασία.
,
Χάρτης θερμότητας θυμάτων
(Εργαστήρια Guardio)
Η Guardio Labs αναφέρει ότι η κλίμακα της καμπάνιας είναι τέτοια που περίπου το 7% όλων των επιχειρηματικών λογαριασμών του Facebook έχουν στοχοποιηθεί, με το 0,4% να έχει κατεβάσει το κακόβουλο αρχείο.
Για να μολυνθούν από το κακόβουλο λογισμικό, οι χρήστες πρέπει ακόμα να εκτελέσουν το αρχείο δέσμης, επομένως ο αριθμός των λογαριασμών που έχουν παραβιαστεί είναι άγνωστος, αλλά μπορεί να είναι σημαντικός.
Διάγραμμα χοάνης
(Εργαστήρια Guardio)
Συνδέεται με βιετναμέζους χάκερ
Ο Guardio αποδίδει αυτή την καμπάνια σε βιετναμέζους χάκερ λόγω των συμβολοσειρών στο κακόβουλο λογισμικό και της χρήσης του προγράμματος περιήγησης ιστού “Coc Coc”, το οποίο σύμφωνα με τους ερευνητές είναι δημοφιλές στο Βιετνάμ.
«Αυτός ο κλέφτης πύθωνα αποκαλύπτει τη βιετναμέζικη προέλευση αυτών των απειλών», εξηγεί ο Guardio.
“Το μήνυμα “Thu Spam lần thứ” που αποστέλλεται στο bot του Telegram επισυναπτόμενο με έναν μετρητή χρόνου εκτέλεσης, μεταφράζεται από τα βιετναμικά ως “Συλλέξτε ανεπιθύμητα μηνύματα για την ώρα Χ”.
Ομάδες απειλών από το Βιετνάμ έχουν στοχεύσει το Facebook με εκστρατείες μεγάλης κλίμακας φέτος, κερδίζοντας έσοδα από κλεμμένους λογαριασμούς κυρίως μεταπωλώντας τους μέσω Telegram ή αγορών σκοτεινού ιστού.
Τον Μάιο του 2023, το Facebook ανακοίνωσε ότι διέκοψε μια καμπάνια που προήλθε από το Βιετνάμ, η οποία ανέπτυξε ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών με το όνομα «NodeStealer» που άρπαξε τα cookies του προγράμματος περιήγησης.
Τον Απρίλιο του 2023, τα εργαστήρια Guardio ανέφεραν ξανά για έναν βιετναμέζο ηθοποιό απειλών που
καταχραστεί
Η υπηρεσία διαφημίσεων του Facebook για να μολύνει περίπου μισό εκατομμύριο χρήστες με κακόβουλο λογισμικό κλοπής πληροφοριών.