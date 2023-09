By

Ein aktueller Bericht von Guardio Labs zeigt, dass Hacker ein riesiges Netzwerk gefälschter und kompromittierter Facebook-Konten genutzt haben, um einen Phishing-Angriff auf Facebook-Geschäftskonten zu starten. Die Angreifer verschicken Millionen von Messenger-Phishing-Nachrichten, in denen sie Urheberrechtsverletzungen vortäuschen oder weitere Informationen anfordern, um ihre Ziele auszutricksen.

Die Phishing-Nachrichten enthalten ein RAR/ZIP-Archiv, das beim Herunterladen und Ausführen einen Malware-Dropper aus GitHub-Repositorys abruft. Der in Python geschriebene Dropper soll der Entdeckung entgehen und vertrauliche Daten aus dem Browser des Opfers stehlen. Die Malware sammelt Cookies und Anmeldedaten, die dann über die Telegram- oder Discord-Bot-API an die Angreifer gesendet werden.

Sobald die Informationen gestohlen wurden, löschen die Angreifer alle Cookies vom Gerät des Opfers, um es von seinen Konten abzumelden und ihnen so genügend Zeit zu geben, das kompromittierte Konto zu kapern, indem sie dessen Passwörter ändern. Dieser Vorgang kann eine Weile dauern, da Social-Media-Unternehmen möglicherweise nur langsam auf Berichte über gekaperte Konten reagieren und es den Bedrohungsakteuren somit ermöglichen, betrügerische Aktivitäten durchzuführen.

Das Ausmaß dieser Kampagne ist besorgniserregend: Jede Woche werden etwa 100,000 Phishing-Nachrichten versendet. Diese Nachrichten richten sich hauptsächlich an Facebook-Nutzer in Nordamerika, Europa, Australien, Japan und Südostasien. Guardio Labs schätzt, dass rund 7 % aller Facebook-Geschäftskonten angegriffen wurden, wobei 0.4 % das Schadarchiv heruntergeladen haben. Die Anzahl der gekaperten Konten ist unbekannt, könnte aber erheblich sein.

Guardio Labs führt diese Kampagne aufgrund der in der Malware gefundenen Beweise vietnamesischen Hackern zu. Die Verwendung des in Vietnam beliebten Webbrowsers „Coc Coc“ und vietnamesischsprachige Zeichenfolgen in der Schadsoftware weisen auf die Herkunft der Bedrohungsakteure hin. Vietnamesische Bedrohungsgruppen haben Facebook zuvor mit groß angelegten Kampagnen ins Visier genommen und gestohlene Konten durch Weiterverkauf auf Telegram oder im Dark Web zu Geld gemacht.

Für Facebook-Nutzer, insbesondere solche mit Geschäftskonten, ist es wichtig, wachsam gegenüber Phishing-Versuchen zu bleiben. Sie sollten beim Öffnen von Nachrichten oder beim Herunterladen von Anhängen vorsichtig sein und sicherstellen, dass sie aus legitimen Quellen stammen. Darüber hinaus können die Aktivierung der Multi-Faktor-Authentifizierung und die regelmäßige Aktualisierung von Passwörtern zum Schutz vor unbefugtem Zugriff auf Konten beitragen.

