Ang isang kamakailang pag-atake sa phishing ay kumakalat sa pamamagitan ng Facebook Messenger, gamit ang isang network ng mga peke at na-hijack na personal na mga account upang magpadala ng mga mensahe na may mga nakakahamak na attachment. Kilala bilang MrTonyScam, ang kampanya ay nagmula sa isang Vietnamese-based na grupo at gumagamit ng isang multi-stage na proseso na may mga pamamaraan ng obfuscation upang mag-deploy ng Python-based stealer.

Sa mga pag-atakeng ito, ang mga potensyal na biktima ay tumatanggap ng mga nakakaakit na mensahe na nag-uudyok sa kanila na mag-click sa RAR at ZIP archive attachment. Ang mga attachment na ito ay naglalaman ng dropper na kumukuha ng susunod na yugto ng payload mula sa isang GitHub o GitLab na repository. Ang payload, sa turn, ay may kasamang obfuscated Python-based stealer na kumukuha ng mga kredensyal sa pag-log in at cookies mula sa iba't ibang web browser, na nagpapadala sa kanila sa isang Telegram o Discord API endpoint na kontrolado ng aktor.

Ang isang kawili-wiling taktika na ginagamit ng mga umaatake ay ang tanggalin ang mga ninakaw na cookies pagkatapos kunin ang mga ito. Nila-log nito ang mga biktima sa kanilang mga account, na nagbibigay ng pagkakataon sa mga scammer na i-hijack ang kanilang mga session, baguhin ang mga password, at kontrolin ang mga account.

Ang pagkakaroon ng mga sanggunian sa wikang Vietnamese sa source code ng Python stealer, gayundin ang paggamit ng Cốc Cốc, isang sikat na browser na nakabase sa Chromium sa Vietnam, ay nagmumungkahi ng mga link ng threat actor sa bansa.

Ang kampanya ay may medyo mataas na rate ng tagumpay, na may tinatayang 1 sa 250 na biktima ang nahawahan sa nakalipas na 30 araw. Karamihan sa mga kompromiso ay naiulat sa mga bansa tulad ng US, Australia, Canada, France, Germany, Indonesia, Japan, Nepal, Spain, Pilipinas, at Vietnam.

Ang motibasyon sa likod ng mga pag-atakeng ito ay ang potensyal na monetization ng mga Facebook account na may mataas na reputasyon, mga rating ng nagbebenta, at isang malaking bilang ng mga tagasunod. Ang mga account na ito ay maaaring ibenta sa mga madilim na merkado o gamitin upang maikalat ang mga ad at scam sa malawak na madla.

Mahalaga para sa mga gumagamit ng Facebook Messenger na maging maingat sa pagbubukas ng mga attachment o pag-click sa mga link, lalo na mula sa mga hindi pamilyar na nagpadala. Ang pagpapanatiling napapanahon ng software at mga browser at paggamit ng malakas at natatanging mga password para sa mga online na account ay makakatulong din na maprotektahan laban sa mga pag-atake sa phishing.

