Une nouvelle attaque de phishing exploite Facebook Messenger pour propager des messages contenant des pièces jointes malveillantes à partir d’un « essaim de comptes personnels faux et piratés » dans le but ultime de s’emparer des comptes des cibles.
« Provenant encore une fois d’un groupe basé au Vietnam, cette campagne utilise une petite pièce jointe compressée contenant un puissant voleur basé sur Python, déposé au cours d’un processus en plusieurs étapes rempli de méthodes d’obscurcissement simples mais efficaces », a déclaré Oleg Zaytsev, chercheur à Guardio Labs. dit dans une analyse publiée ce week-end.
Dans ces attaques, baptisées MrTonyScam, les victimes potentielles reçoivent des messages qui les incitent à cliquer sur les pièces jointes des archives RAR et ZIP, conduisant au déploiement d’un compte-gouttes qui récupère l’étape suivante à partir d’un référentiel GitHub ou GitLab.
Cette charge utile est un autre fichier d’archive qui contient un fichier CMD, qui, à son tour, héberge un voleur obscurci basé sur Python pour exfiltrer tous les cookies et informations de connexion de différents navigateurs Web vers un point de terminaison d’API Telegram ou Discord contrôlé par un acteur.
Une tactique intelligente adoptée par l’adversaire consiste à supprimer tous les cookies après les avoir volés, déconnectant ainsi les victimes de leurs propres comptes, auquel cas les escrocs détournent leurs sessions en utilisant les cookies volés pour modifier leurs mots de passe et en prendre le contrôle.
Les liens de l’acteur menaçant avec le Vietnam proviennent de la présence de références en langue vietnamienne dans le code source du voleur Python et de l’inclusion de Cốc Cốc, un navigateur basé sur Chromium populaire dans le pays.
Malgré le fait que le déclenchement de l’infection nécessite une interaction de l’utilisateur pour télécharger un fichier, le décompresser et exécuter la pièce jointe, Guardio Labs a constaté que la campagne a connu un taux de réussite élevé : on estime qu’une victime sur 250 a été infectée au cours des 30 dernières années. jours seul.
La majorité des compromissions ont été signalées aux États-Unis, en Australie, au Canada, en France, en Allemagne, en Indonésie, au Japon, au Népal, en Espagne, aux Philippines et au Vietnam, entre autres.
« Les comptes Facebook dotés d’une réputation, d’une évaluation du vendeur et d’un nombre élevé d’abonnés peuvent être facilement monétisés sur les marchés noirs », a déclaré Zaytsev. « Ceux-ci sont utilisés pour atteindre un large public afin de diffuser des publicités ainsi que davantage d’escroqueries. »
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
La divulgation intervient quelques jours après que WithSecure et Zscaler ThreatLabz ont détaillé les nouvelles campagnes Ducktail et Duckport qui ciblent les comptes Meta Business et Facebook en utilisant des tactiques de publication malveillante.
« L’élément vietnamien de ces menaces et le degré élevé de chevauchement en termes de capacités, d’infrastructures et de victimologie suggèrent des relations de travail actives entre divers acteurs de la menace, des outils et des TTP partagés entre ces groupes de menaces, ou un cybercriminel vietnamien fracturé et orienté vers les services. écosystème (semblable au modèle ransomware-as-a-service) centré sur les plateformes de médias sociaux telles que Facebook », a noté WithSecure.