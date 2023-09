Ang isang kamakailang ulat ng Guardio Labs ay nagpapakita na ang mga hacker ay gumagamit ng isang malawak na network ng mga pekeng at nakompromisong Facebook account upang maglunsad ng isang phishing na pag-atake sa mga account ng negosyo sa Facebook. Ang mga umaatake ay nagpapadala ng milyun-milyong mensahe ng phishing ng Messenger, na nagpapanggap na mga paglabag sa copyright o mga kahilingan para sa higit pang impormasyon, sa pagtatangkang linlangin ang kanilang mga target.

Ang mga mensahe ng phishing ay naglalaman ng isang RAR/ZIP archive na, kung na-download at naisakatuparan, ay kukuha ng malware dropper mula sa mga imbakan ng GitHub. Ang dropper, na nakasulat sa Python, ay idinisenyo upang maiwasan ang pagtuklas at magnakaw ng sensitibong data mula sa browser ng biktima. Kinokolekta ng malware ang cookies at data sa pag-log in, na pagkatapos ay ipapadala sa mga umaatake sa pamamagitan ng Telegram o Discord bot API.

Kapag ninakaw na ang impormasyon, binubura ng mga umaatake ang lahat ng cookies mula sa device ng biktima upang mai-log out sila sa kanilang mga account, na nagbibigay sa kanila ng sapat na oras upang i-hijack ang nakompromisong account sa pamamagitan ng pagpapalit ng mga password nito. Maaaring magtagal ang prosesong ito, dahil maaaring mabagal ang pagtugon ng mga kumpanya ng social media sa mga ulat ng mga na-hijack na account, na nagbibigay-daan sa mga banta ng aktor na magsagawa ng mga mapanlinlang na aktibidad.

Ang sukat ng kampanyang ito ay may kinalaman, na may humigit-kumulang 100,000 phishing na mensahe na ipinapadala bawat linggo. Pangunahing tina-target ng mga mensaheng ito ang mga user ng Facebook sa North America, Europe, Australia, Japan, at Southeast Asia. Tinatantya ng Guardio Labs na humigit-kumulang 7% ng lahat ng account sa negosyo sa Facebook ang na-target, na may 0.4% na na-download ang malisyosong archive. Ang bilang ng mga na-hijack na account ay hindi alam ngunit maaaring makabuluhan.

Iniuugnay ng Guardio Labs ang kampanyang ito sa mga hacker ng Vietnam batay sa ebidensyang natagpuan sa malware. Ang paggamit ng "Coc Coc" web browser, na sikat sa Vietnam, at mga string sa wikang Vietnamese sa malware ay nagpapahiwatig ng pinagmulan ng mga aktor ng pagbabanta. Ang mga Vietnamese threat group ay dati nang nag-target sa Facebook ng mga malalaking kampanya, na kumikita ng mga ninakaw na account sa pamamagitan ng muling pagbebenta sa Telegram o sa dark web.

Mahalaga para sa mga gumagamit ng Facebook, lalo na sa mga may mga account sa negosyo, na manatiling mapagbantay laban sa mga pagtatangka sa phishing. Dapat silang maging maingat kapag nagbubukas ng mga mensahe o nagda-download ng mga attachment, na tinitiyak na ang mga ito ay mula sa mga lehitimong mapagkukunan. Bilang karagdagan, ang pagpapagana ng multi-factor na pagpapatotoo at regular na pag-update ng mga password ay makakatulong na maprotektahan laban sa hindi awtorisadong pag-access sa mga account.

