Hacker Việt Triển khai công cụ đánh cắp dựa trên Python qua Facebook Messenger

Một cuộc tấn công lừa đảo mới đang lợi dụng Facebook Messenger để truyền bá các tin nhắn có tệp đính kèm độc hại từ "một loạt tài khoản cá nhân giả mạo và bị chiếm đoạt" với mục tiêu cuối cùng là chiếm đoạt tài khoản Doanh nghiệp của mục tiêu.

Nhà nghiên cứu bảo mật Oleg Zaytsev cho biết: “Bắt đầu một lần nữa từ một nhóm gốc Việt, chiến dịch này sử dụng một tệp đính kèm tệp nén nhỏ chứa một công cụ đánh cắp dựa trên Python mạnh mẽ được thả trong một quy trình nhiều giai đoạn với đầy đủ các phương pháp che giấu đơn giản nhưng hiệu quả”. một phân tích được công bố vào cuối tuần qua.

Trong các cuộc tấn công này, được gọi là MrTonyScam, các nạn nhân tiềm năng sẽ nhận được các tin nhắn lôi kéo họ nhấp vào tệp đính kèm kho lưu trữ RAR và ZIP, dẫn đến việc triển khai một công cụ nhỏ giọt tìm nạp giai đoạn tiếp theo từ kho lưu trữ GitHub hoặc GitLab.

Tải trọng này là một tệp lưu trữ khác chứa tệp CMD, tệp này chứa một kẻ đánh cắp dựa trên Python bị xáo trộn để lọc tất cả cookie và thông tin đăng nhập từ các trình duyệt web khác nhau đến điểm cuối API Telegram hoặc Discord do tác nhân kiểm soát.

Một chiến thuật thông minh được kẻ thù áp dụng bao gồm việc xóa tất cả cookie sau khi đánh cắp chúng, đăng xuất nạn nhân khỏi tài khoản của họ một cách hiệu quả, tại thời điểm đó, những kẻ lừa đảo chiếm quyền điều khiển phiên của họ bằng cách sử dụng cookie bị đánh cắp để thay đổi mật khẩu và chiếm quyền kiểm soát chúng.

Các liên kết của kẻ đe dọa đến Việt Nam xuất phát từ sự hiện diện của các tham chiếu ngôn ngữ tiếng Việt trong mã nguồn của kẻ đánh cắp Python và bao gồm Cốc Cốc, một trình duyệt dựa trên Chrome phổ biến ở quốc gia này.

Mặc dù thực tế là việc kích hoạt lây nhiễm đòi hỏi sự tương tác của người dùng để tải xuống tệp, giải nén và thực thi tệp đính kèm, Guardio Labs nhận thấy rằng chiến dịch đã chứng kiến tỷ lệ thành công cao khi ước tính cứ 250 nạn nhân thì có 1 người đã bị nhiễm trong 30 năm qua. những ngày một mình.

Phần lớn các thỏa hiệp đã được báo cáo ở Hoa Kỳ, Úc, Canada, Pháp, Đức, Indonesia, Nhật Bản, Nepal, Tây Ban Nha, Philippines và Việt Nam, cùng những quốc gia khác.

Zaytsev cho biết: “Những tài khoản Facebook có danh tiếng, xếp hạng người bán và số lượng người theo dõi cao có thể dễ dàng kiếm tiền trên thị trường chợ đen”. "Những thứ đó được sử dụng để tiếp cận nhiều đối tượng nhằm truyền bá quảng cáo cũng như nhiều trò lừa đảo hơn."

Tiết lộ này được đưa ra vài ngày sau khi WithSecure và Zscaler ThreatLabz trình bày chi tiết các chiến dịch Ducktail và Duckport mới nhắm mục tiêu vào các tài khoản Meta Business và Facebook bằng cách sử dụng chiến thuật đăng độc hại.

“Yếu tố lấy Việt Nam làm trung tâm của các mối đe dọa này và mức độ chồng chéo cao về năng lực, cơ sở hạ tầng và nạn nhân cho thấy mối quan hệ làm việc tích cực giữa các tác nhân đe dọa khác nhau, công cụ dùng chung và TTP giữa các nhóm mối đe dọa này hoặc tội phạm mạng Việt Nam có định hướng dịch vụ và rạn nứt”. hệ sinh thái (tương tự như mô hình ransomware-as-a-service) tập trung vào các nền tảng truyền thông xã hội như Facebook,” WithSecure lưu ý.

Hương – Theo TheHackerNews