ハッカーは、偽の侵害された Facebook アカウントの大規模なネットワークを使用して、パスワードを盗むマルウェアを使用して Facebook ビジネス アカウントを標的とする何百万ものメッセンジャー フィッシング メッセージを送信します。
攻撃者はターゲットをだまして、被害者のブラウザに保存されている Cookie とパスワードを取得する回避型 Python ベースのスティーラーのダウンローダーを含む RAR/ZIP アーカイブをダウンロードさせます。
Guardio Labsによる新しいレポートの中で、研究者らは、標的となったアカウントのおよそ 70 件に 1 件が最終的に侵害され、巨額の経済的損失につながると警告しています。
Facebook メッセンジャーのフィッシング
ハッカーはまず、著作権侵害を装ったり、製品に関する詳細情報の要求を装ったりして、メッセンジャー フィッシング メッセージを Facebook ビジネス アカウントに送信します。
添付されたアーカイブにはバッチ ファイルが含まれており、実行すると、GitHub リポジトリからマルウェア ドロッパーをフェッチして、ブロックリストを回避し、特有の痕跡を最小限に抑えます。
このバッチ スクリプトは、ペイロード (project.py) とともに、情報窃取マルウェアに必要なスタンドアロン Python 環境も取得し、システム起動時に実行するようにスティーラー バイナリを設定することで永続性を追加します。
project.py ファイルには 5 層の難読化が施されているため、AV エンジンが脅威を捕捉することが困難になります。
このマルウェアは、被害者の Web ブラウザに保存されているすべての Cookie とログイン データを「Document.zip」という名前の ZIP アーカイブに収集します。次に、盗んだ情報を Telegram または Discord ボット API 経由で攻撃者に送信します。
最後に、窃盗者は被害者のデバイスからすべての Cookie を消去してアカウントからログアウトし、詐欺師がパスワードを変更して新たに侵害されたアカウントをハイジャックするのに十分な時間を与えます。
ソーシャル メディア企業がハイジャックされたアカウントに関する電子メールに応答するまでには時間がかかる場合があるため、攻撃者がハッキングされたアカウントを使用して不正行為を行う時間を与えられます。
キャンペーンの規模
攻撃チェーンは目新しいものではありませんが、Guardio Labs が観察したキャンペーンの規模は驚くべきものです。
研究者らは、主に北米、ヨーロッパ、オーストラリア、日本、東南アジアの Facebook ユーザーに送信されたフィッシング メッセージが毎週約 100,000 件あると報告しています。
Guardio Labs の報告によると、このキャンペーンの規模は Facebook の全ビジネス アカウントの約 7% が標的となり、そのうち 0.4% が悪意のあるアーカイブをダウンロードしたという。
このマルウェアに感染するには、ユーザーがバッチ ファイルを実行する必要があるため、ハイジャックされたアカウントの数は不明ですが、かなりの数になる可能性があります。
ベトナムのハッカーと関係がある
Guardio は、マルウェア内の文字列と、研究者らによるとベトナムで人気のある Web ブラウザ「Coc Coc」の使用により、このキャンペーンはベトナムのハッカーによるものだと考えています。
「このニシキヘビ窃盗犯は、これらの脅威アクターの起源がベトナムであることを明らかにしています」とグアルディオ氏は説明します。
「実行時間のカウンターが付加されて Telegram ボットに送信されるメッセージ「Thu Spam lần thứ」は、ベトナム語で「X 回のスパムを収集する」と翻訳されます。
ベトナムの脅威グループは今年、大規模なキャンペーンでFacebookを標的にし、主にテレグラムやダークウェブ市場経由で盗んだアカウントを転売して収益を得ている。
2023年5月、Facebookは、ブラウザのCookieを盗む「NodeStealer」という新しい情報窃取マルウェアを展開したベトナム発のキャンペーンを阻止したと発表した。
2023 年 4 月、Guardio Labs は、Facebook の広告サービスを悪用して約 50 万人のユーザーを情報窃取マルウェアに感染させたベトナムの脅威攻撃者について再び報告しました。
Comments