黑客利用一个由伪造和泄露的脸书账户组成的庞大网络,发送数百万条Messenger钓鱼消息,用窃取密码的恶意软件攻击脸书商业账户。攻击者诱骗目标下载一个RAR/ZIP档案,该档案包含一个基于Python的偷窥者的下载器,该偷窥者可以获取受害者浏览器中存储的cookie和密码。在Guardio实验室的一份新报告中,研究人员警告说,大约每70个目标账户中就有一个最终被泄露,从而导致巨大的财务损失。
NEWS
Facebook Messenger网络钓鱼
黑客向Facebook商业账户发送Messenger钓鱼信息,假装侵犯版权或要求获得有关产品的更多信息。
所附的档案包含一个批处理文件,如果执行该文件,将从GitHub存储库中提取恶意软件滴管,以避开阻止列表并最大限度地减少痕迹。除了有效负载(project.py)之外,批处理脚本还获取信息窃取恶意软件所需的独立Python环境,并通过将窃取程序二进制文件设置为在系统启动时执行来增加持久性。project.py文件具有五层模糊处理,这使得AV引擎很难捕捉到威胁。
该恶意软件将存储在受害者网络浏览器上的所有cookie和登录数据收集到名为“Document.ZIP”的ZIP档案中。然后通过Telegram或Discord bot API将被盗信息发送给黑客。最后,清除受害者设备上所有的cookie,将其从账户中注销,让黑客有足够的时间通过更改密码劫持新泄露的账户。
由于社交媒体公司可能需要一段时间才能回复有关被劫持账户的电子邮件,这给了黑客时间进行欺诈活动。
NEWS
活动规模
尽管攻击链并不新颖,但Guardio实验室观察到的行动规模令人担忧。研究人员报告称,每周大约有10万条网络钓鱼信息,主要发送给北美、欧洲、澳大利亚、日本和东南亚的Facebook用户。
Guardio实验室报告称,这场活动的规模如此之大,约7%的Facebook商业账户成为攻击目标,其中0.4%的账户下载了恶意档案。要被恶意软件感染,用户仍然必须执行批处理文件,因此被劫持的帐户数量是未知的,但可能很重要。
NEWS
与越南黑客有关
Guardio将这场活动归因于越南黑客,因为恶意软件中有字符串,使用了“Coc-Coc”网络浏览器,研究人员称该浏览器在越南很流行。越南威胁组织今年以Facebook为目标开展了大规模活动,主要通过Telegram或暗网市场转售被盗账户来获利。
2023年4月,Guardio实验室再次报道了一名越南威胁行为者滥用Facebook的广告服务,用窃取信息的恶意软件感染了大约50万用户。
2023年5月,Facebook宣布,它扰乱了一场源自越南的活动,该活动部署了一种名为“NodeStealer”的新信息窃取恶意软件,该恶意软件窃取浏览器cookie。
领取专属 10元无门槛券
私享最新 技术干货