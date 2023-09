En fersk rapport fra Guardio Labs avslører at hackere har brukt et stort nettverk av falske og kompromitterte Facebook-kontoer for å starte et phishing-angrep på Facebooks forretningskontoer. Angriperne sender ut millioner av Messenger-phishing-meldinger, utgir seg for å være brudd på opphavsretten eller forespørsler om mer informasjon, i et forsøk på å lure målene deres.

Phishing-meldingene inneholder et RAR/ZIP-arkiv som, hvis det lastes ned og kjøres, henter en malware-dropper fra GitHub-lagre. Dropperen, skrevet i Python, er designet for å unngå oppdagelse og stjele sensitive data fra offerets nettleser. Skadevaren samler informasjonskapsler og påloggingsdata, som deretter sendes til angriperne via Telegram eller Discord bot API.

Når informasjonen er stjålet, sletter angriperne alle informasjonskapsler fra offerets enhet for å logge dem ut av kontoene, og gir dem nok tid til å kapre den kompromitterte kontoen ved å endre passordene. Denne prosessen kan ta en stund, siden sosiale medieselskaper kan være trege med å svare på rapporter om kaprede kontoer, slik at trusselaktørene kan utføre uredelige aktiviteter.

Omfanget av denne kampanjen er bekymringsfullt, med omtrent 100,000 7 phishing-meldinger som sendes hver uke. Disse meldingene retter seg først og fremst mot Facebook-brukere i Nord-Amerika, Europa, Australia, Japan og Sørøst-Asia. Guardio Labs anslår at rundt 0.4 % av alle Facebook-bedriftskontoer har blitt målrettet, med XNUMX % som har lastet ned det ondsinnede arkivet. Antallet kaprede kontoer er ukjent, men kan være betydelig.

Guardio Labs tilskriver denne kampanjen vietnamesiske hackere basert på bevis funnet i skadelig programvare. Bruken av "Coc Coc"-nettleseren, populær i Vietnam, og vietnamesiskspråklige strenger i skadelig programvare indikerer opprinnelsen til trusselaktørene. Vietnamesiske trusselgrupper har tidligere målrettet Facebook med store kampanjer, for å tjene penger på stjålne kontoer gjennom videresalg på Telegram eller det mørke nettet.

Det er viktig for Facebook-brukere, spesielt de med bedriftskontoer, å være på vakt mot phishing-forsøk. De bør være forsiktige når de åpner meldinger eller laster ned vedlegg, og sørger for at de kommer fra legitime kilder. I tillegg kan aktivering av multifaktorautentisering og regelmessig oppdatering av passord bidra til å beskytte mot uautorisert tilgang til kontoer.

kilder:

– Guardio Labs-rapport (nettadresse fjernet)

– Facebook-kunngjøring om NodeStealer-kampanjen (URL fjernet)

– Guardio Labs-rapport om vietnamesisk trusselaktør (URL fjernet)