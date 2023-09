Et nylig phishing-angrep sprer seg gjennom Facebook Messenger, og bruker et nettverk av falske og kaprede personlige kontoer for å sende meldinger med ondsinnede vedlegg. Kampanjen, kjent som MrTonyScam, stammer fra en vietnamesisk-basert gruppe og bruker en flertrinnsprosess med tilsløringsmetoder for å distribuere en Python-basert stjeler.

I disse angrepene mottar potensielle ofre lokkende meldinger som ber dem klikke på RAR- og ZIP-arkivvedlegg. Disse vedleggene inneholder en dropper som henter nyttelasten i neste trinn fra et GitHub- eller GitLab-lager. Nyttelasten inkluderer på sin side en obfuskert Python-basert stjeler som trekker ut påloggingsinformasjon og informasjonskapsler fra ulike nettlesere, og sender dem til et aktørkontrollert Telegram eller Discord API-endepunkt.

En interessant taktikk brukt av angriperne er å slette de stjålne informasjonskapslene etter å ha tatt dem. Dette logger ofrene ut av kontoene deres, og gir svindlerne en mulighet til å kapre øktene deres, endre passord og ta kontroll over kontoene.

Tilstedeværelsen av vietnamesiske språkreferanser i kildekoden til Python-tyveren, samt bruken av Cốc Cốc, en populær Chromium-basert nettleser i Vietnam, antyder trusselaktørens koblinger til landet.

Kampanjen har hatt en relativt høy suksessrate, med anslagsvis 1 av 250 ofre som har blitt smittet de siste 30 dagene. De fleste kompromissene er rapportert i land som USA, Australia, Canada, Frankrike, Tyskland, Indonesia, Japan, Nepal, Spania, Filippinene og Vietnam.

Motivasjonen bak disse angrepene er potensiell inntektsgenerering av Facebook-kontoer med høyt omdømme, selgerrangeringer og et stort antall følgere. Disse kontoene kan selges på mørke markeder eller brukes til å spre annonser og svindel til et bredt publikum.

Det er viktig for Facebook Messenger-brukere å være forsiktige når de åpner vedlegg eller klikker på lenker, spesielt fra ukjente avsendere. Å holde programvare og nettlesere oppdatert og bruke sterke, unike passord for nettkontoer kan også bidra til å beskytte mot phishing-angrep.

Kilder: Guardio Labs, WithSecure, Zscaler ThreatLabz