Un récent rapport de Guardio Labs révèle que les pirates informatiques utilisent un vaste réseau de comptes Facebook faux et compromis pour lancer une attaque de phishing sur les comptes professionnels Facebook. Les attaquants envoient des millions de messages de phishing Messenger, prétendant qu'il s'agit de violations de droits d'auteur ou de demandes d'informations supplémentaires, dans le but de tromper leurs cibles.

Les messages de phishing contiennent une archive RAR/ZIP qui, si elle est téléchargée et exécutée, récupère un dropper de malware à partir des référentiels GitHub. Le compte-gouttes, écrit en Python, est conçu pour échapper à la détection et voler des données sensibles dans le navigateur de la victime. Le malware collecte des cookies et des données de connexion, qui sont ensuite envoyés aux attaquants via l'API du bot Telegram ou Discord.

Une fois les informations volées, les attaquants effacent tous les cookies de l'appareil de la victime pour la déconnecter de son compte, ce qui lui laisse suffisamment de temps pour détourner le compte compromis en modifiant ses mots de passe. Ce processus peut prendre un certain temps, car les sociétés de médias sociaux peuvent mettre du temps à réagir aux rapports faisant état de comptes piratés, permettant ainsi aux acteurs malveillants de mener des activités frauduleuses.

L'ampleur de cette campagne est préoccupante, avec environ 100,000 7 messages de phishing envoyés chaque semaine. Ces messages ciblent principalement les utilisateurs de Facebook en Amérique du Nord, en Europe, en Australie, au Japon et en Asie du Sud-Est. Guardio Labs estime qu'environ 0.4 % de tous les comptes professionnels Facebook ont ​​été ciblés, dont XNUMX % ont téléchargé l'archive malveillante. Le nombre de comptes piratés est inconnu mais pourrait être important.

Guardio Labs attribue cette campagne aux pirates vietnamiens sur la base des preuves trouvées dans le malware. L’utilisation du navigateur Web « Coc Coc », populaire au Vietnam, et les chaînes en langue vietnamienne dans le malware indiquent l’origine des auteurs de la menace. Les groupes malveillants vietnamiens ont déjà ciblé Facebook avec des campagnes à grande échelle, monétisant les comptes volés via la revente sur Telegram ou sur le dark web.

Il est important que les utilisateurs de Facebook, en particulier ceux disposant de comptes professionnels, restent vigilants face aux tentatives de phishing. Ils doivent être prudents lorsqu’ils ouvrent des messages ou téléchargent des pièces jointes, en s’assurant qu’ils proviennent de sources légitimes. De plus, l'activation de l'authentification multifacteur et la mise à jour régulière des mots de passe peuvent aider à protéger contre les accès non autorisés aux comptes.

Sources:

– Rapport Guardio Labs (URL supprimée)

– Annonce Facebook concernant la campagne NodeStealer (URL supprimée)

– Rapport de Guardio Labs sur l’acteur menaçant vietnamien (URL supprimée)