Uit een recent rapport van Guardio Labs blijkt dat hackers een uitgebreid netwerk van valse en gecompromitteerde Facebook-accounts hebben gebruikt om een ​​phishing-aanval op zakelijke Facebook-accounts te lanceren. De aanvallers versturen miljoenen Messenger-phishingberichten, waarin ze zich voordoen als schendingen van het auteursrecht of verzoeken om meer informatie, in een poging hun doelwitten te misleiden.

De phishing-berichten bevatten een RAR/ZIP-archief dat, als het wordt gedownload en uitgevoerd, een malware-dropper ophaalt uit GitHub-opslagplaatsen. De dropper, geschreven in Python, is ontworpen om detectie te omzeilen en gevoelige gegevens uit de browser van het slachtoffer te stelen. De malware verzamelt cookies en inloggegevens, die vervolgens via Telegram of Discord bot API naar de aanvallers worden gestuurd.

Zodra de informatie is gestolen, wissen de aanvallers alle cookies van het apparaat van het slachtoffer om ze uit te loggen bij hun accounts, waardoor ze voldoende tijd hebben om het gecompromitteerde account te kapen door de wachtwoorden te wijzigen. Dit proces kan enige tijd duren, omdat sociale-mediabedrijven mogelijk traag reageren op meldingen van gekaapte accounts, waardoor de dreigingsactoren frauduleuze activiteiten kunnen uitvoeren.

De omvang van deze campagne is zorgwekkend: er worden wekelijks ongeveer 100,000 phishing-berichten verzonden. Deze berichten zijn voornamelijk gericht op Facebook-gebruikers in Noord-Amerika, Europa, Australië, Japan en Zuidoost-Azië. Guardio Labs schat dat ongeveer 7% van alle zakelijke Facebook-accounts het doelwit zijn, waarbij 0.4% het kwaadaardige archief heeft gedownload. Het aantal gekaapte accounts is onbekend, maar kan aanzienlijk zijn.

Guardio Labs schrijft deze campagne toe aan Vietnamese hackers op basis van bewijsmateriaal gevonden in de malware. Het gebruik van de in Vietnam populaire webbrowser ‘Coc Coc’ en tekenreeksen in de Vietnamese taal in de malware duiden op de oorsprong van de bedreigingsactoren. Vietnamese dreigingsgroepen hebben Facebook eerder met grootschalige campagnes aangevallen, waarbij ze geld verdienden met gestolen accounts via wederverkoop op Telegram of op het dark web.

Het is belangrijk dat Facebook-gebruikers, vooral degenen met zakelijke accounts, waakzaam blijven tegen phishing-pogingen. Ze moeten voorzichtig zijn bij het openen van berichten of het downloaden van bijlagen en ervoor zorgen dat deze afkomstig zijn van legitieme bronnen. Bovendien kan het inschakelen van meervoudige authenticatie en het regelmatig bijwerken van wachtwoorden helpen beschermen tegen ongeautoriseerde toegang tot accounts.

Bronnen:

– Guardio Labs-rapport (URL verwijderd)

– Facebook-aankondiging over de NodeStealer-campagne (URL verwijderd)

– Guardio Labs-rapport over Vietnamese bedreigingsacteur (URL verwijderd)