Hackers έχουν δημιουργήσει ένα τεράστιο δίκτυο ψεύτικων και παραβιασμένων λογαριασμών στο Facebook για να αποστείλουν εκατομμύρια phishing μηνύματα μέσω του Messenger σε χρήστες που διαχειρίζονται business accounts. Σύμφωνα με μια νέα έκθεση της Guardio Labs, στόχος είναι η μόλυνση αυτών των λογαριασμών με κακόβουλο λογισμικό που κλέβει κωδικούς πρόσβασης.
Οι επιτιθέμενοι προσπαθούν να πείσουν τους στόχους να κατεβάσουν ένα αρχείο RAR/ZIP, που περιέχει ένα πρόγραμμα λήψης για ένα Python-based stealer malware που κλέβει cookies και κωδικούς πρόσβασης που είναι αποθηκευμένοι στο πρόγραμμα περιήγησης του θύματος.
Facebook Messenger: Phishing επίθεση
Οι hackers αρχίζουν την επίθεση στο Messenger αποστέλλοντας phishing μηνύματα σε Facebook business accounts. Αυτά τα μηνύματα αναφέρονται σε υποτιθέμενες παραβιάσεις πνευματικών δικαιωμάτων ή ζητούν περισσότερες πληροφορίες για ένα συγκεκριμένο προϊόν.
Το συνημμένο αρχείο περιέχει ένα batch file που, εάν εκτελεστεί, ανακτά ένα malware dropper από GitHub repositories για να αποφύγει τις λίστες αποκλεισμού.
Δείτε επίσης: Η ομάδα hacking Ducktail στοχεύει Facebook Business Accounts με malvertising
Μαζί με το payload (project.py), το batch script ανακτά επίσης ένα αυτόνομο περιβάλλον Python που απαιτείται από το κακόβουλο λογισμικό κλοπής πληροφοριών. Επιπλέον, επιτυγχάνει persistence ρυθμίζοντας το stealer binary για εκτέλεση κατά την εκκίνηση του συστήματος.
Το αρχείο project.py διαθέτει πέντε επίπεδα obfuscation, ώστε να είναι πιο δύσκολη η ανίχνευση.
Το κακόβουλο λογισμικό συλλέγει όλα τα cookies και τα δεδομένα σύνδεσης που είναι αποθηκευμένα στο πρόγραμμα περιήγησης του θύματος. Τα τοποθετεί σε ένα αρχείο ZIP με το όνομα “Document.zip” και τα στέλνει στους hackers μέσω του Telegram ή του Discord bot API.
Στο τέλος, το malware διαγράφει όλα τα cookies από τη συσκευή του θύματος για να τον αποσυνδέσει από τους λογαριασμούς του. Έτσι, οι hackers κερδίζουν χρόνο ώστε να κλέψουν τον πρόσφατα παραβιασμένο λογαριασμό, αλλάζοντας τους κωδικούς πρόσβασης.
Μέχρι να ανταποκριθούν οι εταιρείες μέσων κοινωνικής δικτύωσης στα αιτήματα των χρηστών σχετικά με τους παραβιασμένους λογαριασμούς, οι hackers έχουν τον χρόνο να διεξάγουν δόλιες δραστηριότητες με αυτούς τους λογαριασμούς.
Δείτε επίσης: Microsoft Teams: Επίθεση phishing ωθεί το κακόβουλο λογισμικό DarkGate
Οι ερευνητές της Guardio Labs έχουν παρατηρήσει ότι η phishing καμπάνια στο Messenger που στοχεύει τα Facebook business accounts είναι τεράστια. Οι ερευνητές αναφέρουν περίπου 100.000 phishing μηνύματα την εβδομάδα, που αποστέλλονται κυρίως σε χρήστες στη Βόρεια Αμερική, την Ευρώπη, την Αυστραλία, την Ιαπωνία και τη Νοτιοανατολική Ασία.
Η Guardio Labs αναφέρει ότι η κλίμακα της επίθεσης είναι τέτοια, ώστε περίπου το 7% των επιχειρηματικών λογαριασμών στο Facebook έχουν επηρεαστεί, με το 0,4% να έχει κατεβάσει το κακόβουλο αρχείο.
Ωστόσο, για να μολυνθούν από το κακόβουλο λογισμικό, οι χρήστες πρέπει να εκτελέσουν το batch file. Επομένως ο αριθμός των λογαριασμών που έχουν παραβιαστεί είναι άγνωστος.
Βιετναμέζοι hackers
Οι ερευνητές αποδίδουν αυτή την καμπάνια σε Βιετναμέζους hackers λόγω κάποιων στοιχείων του malware κλοπής κωδικών και της χρήσης του προγράμματος περιήγησης “Coc Coc“, το οποίο είναι δημοφιλές στο Βιετνάμ.
Hackers από το Βιετνάμ έχουν στοχεύσει ξανά Facebook λογαριασμούς φέτος. Έκλεβαν λογαριασμούς και τους πουλούσαν μέσω Telegram ή αγορών στο dark web.
Δείτε επίσης: Το Google Looker Studio έγινε abuse σε cryptocurrency phishing επιθέσεις
Τον Μάιο του 2023, το Facebook ανακοίνωσε ότι διέκοψε μια καμπάνια που προήλθε από το Βιετνάμ, η οποία ανέπτυξε ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών με το όνομα “NodeStealer“.
Η τακτική του phishing μέσω του Messenger αποδεικνύεται εξαιρετικά αποτελεσματική, καθώς οι χρήστες εμπιστεύονται συχνά τα εισερχόμενα μηνύματα, ειδικά όταν φαίνονται να προέρχονται από γνωστές επικοινωνίες ή επίσημους λογαριασμούς επιχειρήσεων. Οι hackers εκμεταλλεύονται αυτή την εμπιστοσύνη, χρησιμοποιώντας εξελιγμένες τεχνικές για να παραπλανήσουν τους χρήστες και να τους επιβάλουν να κατεβάσουν κακόβουλο λογισμικό. Είναι σημαντικό για τους χρήστες να είναι πάντα προσεκτικοί με τα μηνύματα που δέχονται και να βεβαιωθούν ότι τα συνημμένα αρχεία ή οι σύνδεσμοι που τους στέλνονται είναι ασφαλείς πριν προχωρήσουν σε λήψη.
Πηγή: www.bleepingcomputer.com
