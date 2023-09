By

Äskettäinen tietojenkalasteluhyökkäys leviää Facebook Messengerin kautta, joka käyttää väärennettyjen ja kaapattujen henkilökohtaisten tilien verkostoa lähettääkseen viestejä haitallisilla liitteillä. MrTonyScam-niminen kampanja on peräisin vietnamilaiselta ryhmältä ja käyttää monivaiheista prosessia, jossa on hämärämenetelmiä Python-pohjaisen varastajan käyttöönottamiseksi.

Näissä hyökkäyksissä mahdolliset uhrit saavat houkuttelevia viestejä, jotka kehottavat heitä napsauttamaan RAR- ja ZIP-arkistoliitteitä. Nämä liitteet sisältävät dropperin, joka hakee seuraavan vaiheen hyötykuorman GitHub- tai GitLab-arkistosta. Hyötykuorma puolestaan ​​sisältää hämärän Python-pohjaisen varastajan, joka poimii kirjautumistiedot ja evästeet eri selaimista ja lähettää ne näyttelijän ohjaamaan Telegram- tai Discord API -päätepisteeseen.

Hyökkääjien mielenkiintoinen taktiikka on poistaa varastetut evästeet niiden ottamisen jälkeen. Tämä kirjaa uhrit ulos heidän tileistään, mikä antaa huijareille mahdollisuuden kaapata heidän istuntojaan, vaihtaa salasanoja ja ottaa tilit haltuunsa.

Vietnamin kielen viittaukset Python-varastajan lähdekoodissa sekä Vietnamissa suositun kromipohjaisen selaimen Cốc Cốc käyttö viittaavat uhkatoimijan linkkeihin maahan.

Kampanjalla on ollut suhteellisen korkea onnistumisprosentti: arviolta yksi 1 uhrista on saanut tartunnan viimeisten 250 päivän aikana. Suurin osa kompromisseista on raportoitu sellaisissa maissa kuin Yhdysvalloissa, Australiassa, Kanadassa, Ranskassa, Saksassa, Indonesiassa, Japanissa, Nepalissa, Espanjassa, Filippiineillä ja Vietnamissa.

Näiden hyökkäysten taustalla on Facebook-tilien mahdollinen kaupallistaminen, joilla on hyvä maine, myyjäarviot ja suuri määrä seuraajia. Näitä tilejä voidaan myydä pimeillä markkinoilla tai käyttää mainosten ja huijausten levittämiseen laajalle yleisölle.

Facebook Messengerin käyttäjien on tärkeää olla varovaisia ​​avaaessaan liitteitä tai napsauttaessaan linkkejä, erityisesti tuntemattomilta lähettäjiltä. Ohjelmistojen ja selaimien pitäminen ajan tasalla ja vahvojen, yksilöllisten salasanojen käyttäminen verkkotileille voi myös auttaa suojaamaan tietojenkalasteluhyökkäyksiä vastaan.

Lähteet: Guardio Labs, WithSecure, Zscaler ThreatLabz