Un nuevo ataque de phishing est\u00e1 aprovechando Facebook Messenger para propagar mensajes con archivos adjuntos maliciosos de un “enjambre de cuentas personales falsas y secuestradas” con el objetivo final de apoderarse de las cuentas de los objetivos.<\/p>\n
“Esta campa\u00f1a, que surge una vez m\u00e1s de un grupo con sede en Vietnam, utiliza un peque\u00f1o archivo adjunto comprimido que incluye un poderoso ladr\u00f3n basado en Python que se coloca en un proceso de varias etapas lleno de m\u00e9todos de ofuscaci\u00f3n simples pero efectivos”, dijo Oleg Zaytsev, investigador de Guardio Labs. dicho<\/a> en un an\u00e1lisis publicado durante el fin de semana.<\/p>\n En estos ataques, denominados MrTonyScam, las v\u00edctimas potenciales reciben mensajes que las incitan a hacer clic en los archivos adjuntos RAR y ZIP, lo que lleva a la implementaci\u00f3n de un cuentagotas que recupera la siguiente etapa de un repositorio GitHub o GitLab.<\/p>\n Esta carga \u00fatil es otro archivo que contiene un archivo CMD, que, a su vez, alberga un ladr\u00f3n ofuscado basado en Python para filtrar todas las cookies y credenciales de inicio de sesi\u00f3n de diferentes navegadores web a un punto final de Telegram o Discord API controlado por el actor.<\/p>\n Una t\u00e1ctica inteligente adoptada por el adversario consiste en eliminar todas las cookies despu\u00e9s de robarlas, lo que efectivamente cierra la sesi\u00f3n de las v\u00edctimas en sus propias cuentas, momento en el cual los estafadores secuestran sus sesiones utilizando las cookies robadas para cambiar sus contrase\u00f1as y tomar el control de ellas.<\/p>\n Los v\u00ednculos del actor de amenazas con Vietnam provienen de la presencia de referencias al idioma vietnamita en el c\u00f3digo fuente del ladr\u00f3n de Python y la inclusi\u00f3n de C\u1ed1c C\u1ed1c, un navegador basado en Chromium popular en el pa\u00eds.<\/p>\n A pesar de que desencadenar la infecci\u00f3n requiere la interacci\u00f3n del usuario para descargar un archivo, descomprimirlo y ejecutar el archivo adjunto, Guardio Labs descubri\u00f3 que la campa\u00f1a ha sido testigo de una alta tasa de \u00e9xito: se estima que 1 de cada 250 v\u00edctimas ha sido infectada en los \u00faltimos 30 a\u00f1os. d\u00edas solo.<\/p>\n La mayor\u00eda de los compromisos se han reportado en Estados Unidos, Australia, Canad\u00e1, Francia, Alemania, Indonesia, Jap\u00f3n, Nepal, Espa\u00f1a, Filipinas y Vietnam, entre otros.<\/p>\n “Las cuentas de Facebook con reputaci\u00f3n, calificaci\u00f3n de vendedor y un gran n\u00famero de seguidores pueden monetizarse f\u00e1cilmente en los mercados oscuros”, dijo Zaytsev. “Estos se utilizan para llegar a una audiencia m\u00e1s amplia para difundir anuncios y m\u00e1s estafas”.<\/p>\n Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n <\/a><\/p>\n \u00bfConsigui\u00f3 el MFA? \u00bfPAM? \u00bfProtecci\u00f3n de la cuenta de servicio? Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-nuevo-troyano-SuperBear-surge-en-un-ataque-de-phishing.png\")
<\/a><\/center><\/section>\n![\"Facebook](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj-0SEKZQsnYBayMTqZFGGaWbOBRLYov9vd3B0aeayaXPEi4JNSXEIlMsPnKYGxaieQQ7M_nxG-vBaJNA3qneg2tGpTR_lkbHjeAAKB335HJHx3EC53OaXkYroa4xNlubhNf-mrhrXrUFuLj6AEgIy0Xsygb818_fA4XHRadpLEWVGcq-29kmW4d6Sm2yef\/s728-e3650\/fb.jpg\" "\\"Facebook")
<\/div>\n