Les pirates utilisent un vaste réseau de comptes Facebook faux et compromis pour envoyer des millions de messages de phishing Messenger afin de cibler les comptes professionnels Facebook avec des logiciels malveillants voleurs de mots de passe.
Les attaquants incitent les cibles à télécharger une archive RAR/ZIP contenant un téléchargeur pour un voleur évasif basé sur Python qui récupère les cookies et les mots de passe stockés dans le navigateur de la victime.
Dans un nouveau rapport de Guardio Labs, les chercheurs préviennent qu’environ un compte ciblé sur soixante-dix est finalement compromis, ce qui se traduit par des pertes financières massives.
Phishing sur Facebook Messenger
Les pirates commencent par envoyer des messages de phishing Messenger à des comptes professionnels Facebook, prétendant qu’il s’agit de violations de droits d’auteur ou de demandes d’informations supplémentaires sur un produit.
L’archive ci-jointe contient un fichier batch qui, s’il est exécuté, récupère un dropper de malware à partir des référentiels GitHub pour échapper aux listes de blocage et minimiser les traces distinctives.
Outre la charge utile (project.py), le script batch récupère également un environnement Python autonome requis par le logiciel malveillant voleur d’informations et ajoute de la persistance en configurant le binaire du voleur pour qu’il s’exécute au démarrage du système.
Le fichier project.py comporte cinq couches d’obscurcissement, ce qui rend difficile la détection de la menace par les moteurs audiovisuels.
Le malware collecte tous les cookies et données de connexion stockés sur le navigateur Web de la victime dans une archive ZIP nommée « Document.zip ». Il envoie ensuite les informations volées aux attaquants via l’API du bot Telegram ou Discord.
Enfin, le voleur efface tous les cookies de l’appareil de la victime pour la déconnecter de son compte, ce qui donne aux fraudeurs suffisamment de temps pour détourner le compte nouvellement compromis en modifiant les mots de passe.
Comme les sociétés de médias sociaux peuvent mettre un certain temps à répondre aux e-mails concernant les comptes piratés, cela donne aux acteurs de la menace le temps de mener des activités frauduleuses avec les comptes piratés.
Ampleur de la campagne
Bien que la chaîne d’attaques ne soit pas nouvelle, l’ampleur de la campagne observée par Guardio Labs est alarmante.
Les chercheurs rapportent environ 100 000 messages de phishing par semaine, envoyés principalement aux utilisateurs de Facebook en Amérique du Nord, en Europe, en Australie, au Japon et en Asie du Sud-Est.
Guardio Labs rapporte que l’ampleur de la campagne est telle qu’environ 7 % de tous les comptes professionnels de Facebook ont été ciblés, dont 0,4 % ont téléchargé l’archive malveillante.
Pour être infecté par le malware, les utilisateurs doivent encore exécuter le fichier batch. Le nombre de comptes piratés est donc inconnu, mais il pourrait être important.
Lié aux hackers vietnamiens
Guardio attribue cette campagne aux pirates vietnamiens en raison de la présence de logiciels malveillants et de l’utilisation du navigateur Web « Coc Coc », qui, selon les chercheurs, est populaire au Vietnam.
« Ce voleur de python révèle l’origine vietnamienne de ces acteurs menaçants », explique Guardio.
« Le message « Thu Spam lần thứ » qui est envoyé au robot Telegram accompagné d’un compteur de temps d’exécution, se traduit du vietnamien par « Collecter le spam pendant le temps X ». »
Cette année, des groupes malveillants vietnamiens ont ciblé Facebook avec des campagnes à grande échelle, monétisant les comptes volés principalement en les revendant via Telegram ou sur les marchés du dark web.
En mai 2023, Facebook a annoncé avoir perturbé une campagne lancée au Vietnam qui déployait un nouveau malware voleur d’informations nommé « NodeStealer » qui captait les cookies du navigateur.
En avril 2023, Guardio Labs a de nouveau signalé qu’un acteur malveillant vietnamien avait abusé du service publicitaire de Facebook pour infecter environ un demi-million d’utilisateurs avec un logiciel malveillant voleur d’informations.