Një raport i fundit nga Guardio Labs zbulon se hakerat kanë përdorur një rrjet të gjerë llogarish të rreme dhe të komprometuara në Facebook për të nisur një sulm phishing në llogaritë e biznesit të Facebook. Sulmuesit dërgojnë miliona mesazhe phishing të Messenger, duke pretenduar se janë shkelje të të drejtave të autorit ose kërkesa për më shumë informacion, në një përpjekje për të mashtruar objektivat e tyre.

Mesazhet e phishing përmbajnë një arkiv RAR/ZIP, i cili, nëse shkarkohet dhe ekzekutohet, merr një pikatore malware nga depot e GitHub. Pikatori, i shkruar në Python, është krijuar për të shmangur zbulimin dhe vjedhjen e të dhënave të ndjeshme nga shfletuesi i viktimës. Malware mbledh cookie-t dhe të dhënat e hyrjes, të cilat më pas u dërgohen sulmuesve nëpërmjet Telegram ose Discord bot API.

Pasi informacioni është vjedhur, sulmuesit fshijnë të gjitha cookies nga pajisja e viktimës për t'i dalë nga llogaritë e tyre, duke u dhënë atyre kohë të mjaftueshme për të rrëmbyer llogarinë e komprometuar duke ndryshuar fjalëkalimet e saj. Ky proces mund të marrë pak kohë, pasi kompanitë e mediave sociale mund të jenë të ngadalta për t'iu përgjigjur raporteve të llogarive të rrëmbyera, duke lejuar aktorët e kërcënimit të kryejnë aktivitete mashtruese.

Shkalla e kësaj fushate është shqetësuese, me rreth 100,000 mesazhe phishing që dërgohen çdo javë. Këto mesazhe synojnë kryesisht përdoruesit e Facebook në Amerikën e Veriut, Evropë, Australi, Japoni dhe Azinë Juglindore. Guardio Labs vlerëson se rreth 7% e të gjitha llogarive të biznesit në Facebook janë shënjestruar, me 0.4% që kanë shkarkuar arkivin me qëllim të keq. Numri i llogarive të rrëmbyera është i panjohur, por mund të jetë i rëndësishëm.

Guardio Labs ia atribuon këtë fushatë hakerëve vietnamezë bazuar në provat e gjetura në malware. Përdorimi i shfletuesit të internetit "Coc Coc", i njohur në Vietnam, dhe vargjet në gjuhën vietnameze në malware tregojnë origjinën e aktorëve të kërcënimit. Grupet vietnameze të kërcënimit kanë synuar më parë Facebook-un me fushata në shkallë të gjerë, duke fituar para nga llogaritë e vjedhura përmes rishitjes në Telegram ose rrjetin e errët.

Është e rëndësishme që përdoruesit e Facebook, veçanërisht ata me llogari biznesi, të qëndrojnë vigjilentë ndaj përpjekjeve të phishing. Ata duhet të jenë të kujdesshëm kur hapin mesazhe ose shkarkojnë bashkëngjitje, duke u siguruar që ato janë nga burime të ligjshme. Për më tepër, aktivizimi i vërtetimit me shumë faktorë dhe përditësimi i rregullt i fjalëkalimeve mund të ndihmojë në mbrojtjen kundër aksesit të paautorizuar në llogari.

