Yeni bir kimlik avı saldırısı, hedefin hesaplarını ele geçirmek amacıyla “sahte ve ele geçirilmiş kişisel hesaplar sürüsünden” kötü amaçlı eklentiler içeren mesajlar yaymak için Facebook Messenger’dan yararlanıyor.
Guardio Labs araştırmacısı Oleg Zaytsev, “Yine Vietnam merkezli bir gruptan çıkan bu kampanya, basit ama etkili gizleme yöntemleriyle dolu çok aşamalı bir süreçte bırakılan güçlü Python tabanlı hırsızı içeren küçük bir sıkıştırılmış dosya eki kullanıyor.” söz konusu hafta sonu yayınlanan bir analizde.
MrTonyScam olarak adlandırılan bu saldırılarda, potansiyel kurbanlara, onları RAR ve ZIP arşiv eklerine tıklamaya teşvik eden mesajlar gönderiliyor ve bu da GitHub veya GitLab deposundan bir sonraki aşamayı getiren bir damlalığın konuşlandırılmasına yol açıyor.
Bu veri, bir CMD dosyası içeren başka bir arşiv dosyasıdır ve bu dosya, tüm çerezleri ve oturum açma bilgilerini farklı web tarayıcılarından aktör tarafından kontrol edilen bir Telegram veya Discord API uç noktasına sızdırmak için gizlenmiş Python tabanlı bir hırsızı barındırır.
Düşman tarafından benimsenen akıllıca bir taktik, tüm çerezleri çaldıktan sonra silmeyi, kurbanların kendi hesaplarındaki oturumlarını etkili bir şekilde kapatmayı içerir; bu noktada dolandırıcılar, çalınan çerezleri kullanarak oturumlarını ele geçirerek şifrelerini değiştirir ve kontrollerini ele geçirir.
Tehdit aktörünün Vietnam’la olan bağlantıları, Python hırsızının kaynak kodunda Vietnamca dil referanslarının bulunmasından ve ülkede popüler olan Chromium tabanlı bir tarayıcı olan Cốc Cốc’in dahil edilmesinden kaynaklanıyor.
Virüsün tetiklenmesinin bir dosyayı indirmek, sıkıştırmayı açmak ve eki yürütmek için kullanıcı etkileşimi gerektirmesine rağmen Guardio Labs, kampanyanın son 30 yılda 250 kurbandan 1’inin enfekte olduğu tahmin edilen yüksek bir başarı oranına tanık olduğunu buldu. yalnız günler.
Uzlaşmaların çoğunluğunun ABD, Avustralya, Kanada, Fransa, Almanya, Endonezya, Japonya, Nepal, İspanya, Filipinler ve Vietnam’da olduğu bildirildi.
Zaytsev, “İtibarı, satıcı puanı ve yüksek takipçi sayısı olan Facebook Hesapları, karanlık pazarlarda kolayca para kazanılabilir” dedi. “Bunlar, reklamları ve daha fazla dolandırıcılığı yaymak için geniş bir kitleye ulaşmak için kullanılıyor.”
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Açıklama, WithSecure ve Zscaler ThreatLabz’ın, kötü amaçlı paylaşım taktikleri kullanarak Meta Business ve Facebook hesaplarını hedefleyen yeni Ducktail ve Duckport kampanyalarını ayrıntılarıyla açıklamasından birkaç gün sonra geldi.
“Bu tehditlerin Vietnam merkezli unsuru ve yetenekler, altyapı ve mağduriyet açısından yüksek düzeydeki örtüşmeler, çeşitli tehdit aktörleri arasında aktif çalışma ilişkileri, bu tehdit grupları genelinde paylaşılan araçlar ve TTP’ler veya parçalanmış ve hizmet odaklı bir Vietnamlı siber suçlu olduğunu gösteriyor. WithSecure, ekosistemin (hizmet olarak fidye yazılımı modeline benzer şekilde) Facebook gibi sosyal medya platformlarına odaklandığını belirtti.
