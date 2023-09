Un recente attacco di phishing si sta diffondendo attraverso Facebook Messenger, utilizzando una rete di account personali falsi e violati per inviare messaggi con allegati dannosi. Conosciuta come MrTonyScam, la campagna ha origine da un gruppo con sede in Vietnam e utilizza un processo in più fasi con metodi di offuscamento per implementare uno stealer basato su Python.

In questi attacchi, le potenziali vittime ricevono messaggi allettanti che le spingono a fare clic sugli allegati di archivio RAR e ZIP. Questi allegati contengono un dropper che recupera il payload della fase successiva da un repository GitHub o GitLab. Il carico utile, a sua volta, include un ladro offuscato basato su Python che estrae credenziali di accesso e cookie da vari browser Web, inviandoli a un endpoint API Telegram o Discord controllato dall'attore.

Una tattica interessante utilizzata dagli aggressori è quella di eliminare i cookie rubati dopo averli prelevati. Ciò disconnette le vittime dai loro account, dando ai truffatori l'opportunità di dirottare le loro sessioni, cambiare password e prendere il controllo degli account.

La presenza di riferimenti alla lingua vietnamita nel codice sorgente del ladro Python, così come l'uso di Cốc Cốc, un popolare browser basato su Chromium in Vietnam, suggeriscono i collegamenti dell'autore della minaccia con il paese.

La campagna ha avuto un tasso di successo relativamente alto, con circa 1 vittima su 250 infettata negli ultimi 30 giorni. La maggior parte dei compromessi sono stati segnalati in paesi come Stati Uniti, Australia, Canada, Francia, Germania, Indonesia, Giappone, Nepal, Spagna, Filippine e Vietnam.

La motivazione alla base di questi attacchi è la potenziale monetizzazione degli account Facebook con elevata reputazione, valutazioni dei venditori e un gran numero di follower. Questi account possono essere venduti sui mercati oscuri o utilizzati per diffondere pubblicità e truffe a un vasto pubblico.

È importante che gli utenti di Facebook Messenger prestino attenzione quando aprono allegati o fanno clic su collegamenti, soprattutto da mittenti sconosciuti. Anche mantenere aggiornati software e browser e utilizzare password complesse e univoche per gli account online può aiutare a proteggersi dagli attacchi di phishing.

Fonti: Guardio Labs, WithSecure, Zscaler ThreatLabz