Hackers vietnamitas roubam contas de usuários do Facebook via Messenger

Um novo ataque de phishing está utilizando o Facebook Messenger para enviar mensagens com anexos maliciosos de um “enxame de contas pessoais falsas e sequestradas” com o objetivo final de assumir o controle das contas dos alvos.

“Originada mais uma vez de um grupo baseado no Vietnã, esta campanha usa um pequeno anexo de arquivo compactado que contém um poderoso stealer baseado em Python, lançado em um processo de vários estágios cheio de métodos de ofuscação simples, mas eficazes”, disse o pesquisador do Guardio Labs, Oleg Zaytsev, em uma análise publicada no fim de semana.

Nestes ataques, apelidados de MrTonyScam, as potenciais vítimas recebem mensagens que as induzem a clicar nos anexos dos arquivos RAR e ZIP, levando à implantação de um conta-gotas que busca o próximo estágio de um repositório GitHub ou GitLab.

Esta carga útil é outro arquivo que contém um arquivo CMD, que, por sua vez, abriga um stealer ofuscado baseado em Python para exfiltrar todos os cookies e credenciais de login de diferentes navegadores da web para um terminal Telegram ou Discord API controlado por um ator.

Uma tática inteligente adotada pelo adversário envolve a exclusão de todos os cookies após roubá-los, desconectando efetivamente as vítimas de suas próprias contas, momento em que os golpistas sequestram suas sessões usando os cookies roubados para alterar suas senhas e assumir o controle delas.

As ligações do ator da ameaça ao Vietnã vêm da presença de referências ao idioma vietnamita no código-fonte do ladrão Python e da inclusão do Cốc Cốc, um navegador baseado em Chromium popular no país.

Apesar de o desencadeamento da infecção exigir a interação do usuário para baixar um arquivo, descompactar e executar o anexo, o Guardio Labs descobriu que a campanha testemunhou uma alta taxa de sucesso, onde se estima que 1 em cada 250 vítimas tenha sido infectada nos últimos 30 dias.

A maioria das contas comprometidas foram relatada nos EUA, Austrália, Canadá, França, Alemanha, Indonésia, Japão, Nepal, Espanha, Filipinas e Vietname, entre outros.

“Contas do Facebook com reputação, classificação de vendedor e alto número de seguidores podem ser facilmente monetizadas em mercados obscuros”, disse Zaytsev. “Eles são usados para atingir um público amplo para espalhar anúncios e também mais golpes”.

A divulgação ocorre dias depois de WithSecure e Zscaler ThreatLabz detalharem novas campanhas Ducktail e Duckport que visam contas Meta Business e Facebook usando táticas de malverposting.

Fonte