Hackers utilizam uma rede massiva de contas falsas e comprometidas no Facebook para enviar milhões de mensagens de phishing através do Messenger, visando contas comerciais do Facebook com malware que rouba senhas.
Os atacantes enganam os alvos, fazendo-os baixar um arquivo RAR/ZIP que contém um downloader para um ladrão de dados baseado em Python, que capta cookies e senhas armazenadas no navegador da vítima.
Em um novo relatório da Guardio Labs, os pesquisadores alertam que aproximadamente um a cada setenta contas direcionadas acaba sendo comprometida, resultando em perdas financeiras massivas.
Os hackers iniciam o ataque enviando mensagens de phishing através do Messenger para contas comerciais do Facebook, fingindo ser violações de direitos autorais ou pedidos de mais informações sobre um produto.
O arquivo anexo contém um arquivo em lote que, se executado, busca um descarregador de malware nos repositórios do GitHub para evitar listas de bloqueio e minimizar rastros distintivos.
Junto com o payload malicioso (project.py), o script em lote também busca um ambiente Python independente necessário para o roubo de informações e garante persistência, definindo o binário do roubo de informações para ser executado na inicialização do sistema.
O arquivo project.py possui cinco camadas de ofuscação, tornando difícil para os mecanismos AV pegarem a ameaça.
O malware coleta todos os cookies e dados de login armazenados no navegador web da vítima em um arquivo ZIP chamado 'Document.zip'.
Em seguida, envia as informações roubadas para os atacantes via bot API do Telegram ou Discord.
Por fim, o malware apaga todos os cookies do dispositivo da vítima para desconectá-los de suas contas, dando aos golpistas tempo suficiente para sequestrar a conta recém-comprometida, alterando as senhas.
Como pode levar um tempo para as empresas de mídia social responderem aos e-mails sobre contas sequestradas, isso dá aos atores da ameaça tempo para conduzir atividades fraudulentas com as contas invadidas.
Embora a cadeia de ataques não seja nova, a escala da campanha observada pela Guardio Labs é alarmante.
Os pesquisadores relatam cerca de 100.000 mensagens de phishing por semana, enviadas principalmente para usuários do Facebook na América do Norte, Europa, Austrália, Japão e Sudeste Asiático.
A Guardio Labs relata que a escala da campanha é tal que aproximadamente 7% de todas as contas comerciais do Facebook foram visadas, e 0,4% baixaram o arquivo malicioso.
Para serem infectados pelo malware, os usuários ainda precisam executar o arquivo em lote, portanto, o número de contas sequestradas é desconhecido, mas pode ser significativo.
A Guardio atribui essa campanha a hackers vietnamitas devido a strings no malware e ao uso do navegador "Coc Coc", que os pesquisadores dizem ser popular no Vietnã.
"Este ladrão de informações em Python revela a origem vietnamita desses atores de ameaças", explica a Guardio.
O grupo de ameaças do Vietnã tem como alvo o Facebook com campanhas de grande escala este ano, monetizando contas roubadas principalmente pela revenda delas via Telegram ou mercados da web sombria.
Em maio de 2023, o Facebook anunciou que interrompeu uma campanha originada no Vietnã que implantou um novo malware de roubo de informações chamado 'NodeStealer' que pegou cookies do navegador.
Em abril de 2023, a Guardio Labs relatou novamente sobre um ator de ameaças vietnamita que abusou do serviço de Ads do Facebook para infectar aproximadamente meio milhão de usuários com malware de roubo de informações.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...