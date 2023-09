By

Une récente attaque de phishing se propage via Facebook Messenger, utilisant un réseau de comptes personnels faux et piratés pour envoyer des messages contenant des pièces jointes malveillantes. Connue sous le nom de MrTonyScam, la campagne provient d'un groupe basé au Vietnam et utilise un processus en plusieurs étapes avec des méthodes d'obscurcissement pour déployer un voleur basé sur Python.

Dans ces attaques, les victimes potentielles reçoivent des messages alléchants qui les invitent à cliquer sur les pièces jointes des archives RAR et ZIP. Ces pièces jointes contiennent un compte-gouttes qui récupère la charge utile de l'étape suivante à partir d'un référentiel GitHub ou GitLab. La charge utile, à son tour, comprend un voleur obscurci basé sur Python qui extrait les informations de connexion et les cookies de divers navigateurs Web, les envoyant à un point de terminaison d'API Telegram ou Discord contrôlé par un acteur.

Une tactique intéressante utilisée par les attaquants consiste à supprimer les cookies volés après les avoir récupérés. Cela déconnecte les victimes de leurs comptes, donnant aux fraudeurs la possibilité de détourner leurs sessions, de modifier leurs mots de passe et de prendre le contrôle des comptes.

La présence de références en langue vietnamienne dans le code source du voleur Python, ainsi que l'utilisation de Cốc Cốc, un navigateur basé sur Chromium populaire au Vietnam, suggèrent les liens de l'acteur menaçant avec ce pays.

La campagne a connu un taux de réussite relativement élevé, avec environ 1 victime sur 250 ayant été infectée au cours des 30 derniers jours. La plupart des compromissions ont été signalées dans des pays comme les États-Unis, l’Australie, le Canada, la France, l’Allemagne, l’Indonésie, le Japon, le Népal, l’Espagne, les Philippines et le Vietnam.

La motivation derrière ces attaques est la monétisation potentielle de comptes Facebook jouissant d’une grande réputation, d’évaluations de vendeurs et d’un grand nombre de followers. Ces comptes peuvent être vendus sur des marchés sombres ou utilisés pour diffuser des publicités et des escroqueries auprès d'un large public.

Il est important que les utilisateurs de Facebook Messenger soient prudents lorsqu'ils ouvrent des pièces jointes ou cliquent sur des liens, en particulier lorsqu'ils proviennent d'expéditeurs inconnus. Garder les logiciels et les navigateurs à jour et utiliser des mots de passe forts et uniques pour les comptes en ligne peut également contribuer à vous protéger contre les attaques de phishing.

