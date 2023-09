Guardio Labsin tuore raportti paljastaa, että hakkerit ovat käyttäneet laajaa väärennettyjen ja vaarantuneiden Facebook-tilien verkostoa käynnistääkseen tietojenkalasteluhyökkäyksen Facebook-yritystilejä vastaan. Hyökkääjät lähettävät miljoonia Messengerin tietojenkalasteluviestejä, jotka teeskentelevät tekijänoikeusrikkomuksia tai lisätietopyyntöjä yrittääkseen huijata kohteensa.

Tietojenkalasteluviestit sisältävät RAR/ZIP-arkiston, joka ladattaessa ja suoritettuna hakee haittaohjelmien pudotusohjelman GitHub-varastoista. Pythonilla kirjoitettu dropper on suunniteltu välttämään havaitsemista ja varastamaan arkaluontoisia tietoja uhrin selaimesta. Haittaohjelma kerää evästeitä ja kirjautumistietoja, jotka lähetetään sitten hyökkääjille Telegramin tai Discord bot API:n kautta.

Kun tiedot on varastettu, hyökkääjät pyyhkivät kaikki evästeet uhrin laitteelta kirjatakseen hänet ulos tileistään, jolloin heillä on riittävästi aikaa kaapata vaarantunut tili vaihtamalla sen salasanat. Tämä prosessi voi kestää hetken, koska sosiaalisen median yritykset saattavat olla hitaita reagoimaan kaapattuja tilejä koskeviin raportteihin, jolloin uhkatekijät voivat harjoittaa vilpillistä toimintaa.

Tämän kampanjan laajuus on huolestuttava, sillä noin 100,000 7 phishing-viestiä lähetetään joka viikko. Nämä viestit on suunnattu ensisijaisesti Facebookin käyttäjille Pohjois-Amerikassa, Euroopassa, Australiassa, Japanissa ja Kaakkois-Aasiassa. Guardio Labs arvioi, että noin 0.4 % kaikista Facebook-yritystileistä on joutunut kohteena, ja XNUMX % on ladannut haitallisen arkiston. Kaapattujen tilien määrää ei tunneta, mutta se voi olla merkittävä.

Guardio Labs uskoo tämän kampanjan vietnamilaisille hakkereille haittaohjelmasta löydettyjen todisteiden perusteella. Vietnamissa suositun Coc Coc -verkkoselaimen käyttö ja vietnamkieliset merkkijonot haittaohjelmissa osoittavat uhkatoimijoiden alkuperän. Vietnamilaiset uhkaryhmät ovat aiemmin kohdistaneet Facebookin laajamittaisia ​​kampanjoita, jotka ovat ansainneet varastettuja tilejä myymällä niitä Telegramissa tai pimeässä verkossa.

On tärkeää, että Facebookin käyttäjät, erityisesti niille, joilla on yritystilejä, ovat valppaita tietojenkalasteluyrityksiä vastaan. Heidän tulee olla varovaisia ​​avatessaan viestejä tai lataaessaan liitteitä ja varmistamalla, että ne ovat peräisin laillisista lähteistä. Lisäksi monivaiheisen todennuksen ottaminen käyttöön ja salasanojen säännöllinen päivittäminen voi auttaa suojaamaan tilien luvattomalta käytöltä.

Lähteet:

– Guardio Labs -raportti (URL-osoite poistettu)

– Facebook-ilmoitus NodeStealer-kampanjasta (URL poistettu)

– Guardio Labsin raportti vietnamilaisesta uhkatekijästä (URL poistettu)