Facebook 驚現(xiàn)網(wǎng)絡(luò)釣魚浪潮,每周攻擊 10 萬(wàn)個(gè)賬戶
Bleeping Computer 網(wǎng)站披露,某黑客組織通過一個(gè)偽造和受損的 Facebook 賬戶網(wǎng)絡(luò),發(fā)送數(shù)百萬(wàn)條 Messenger 釣魚信息,利用密碼竊取惡意軟件攻擊 Facebook 企業(yè)賬戶。
據(jù)悉,網(wǎng)絡(luò)攻擊者通過誘騙目標(biāo)用戶下載一個(gè) RAR/ZIP 壓縮包,壓縮包中包含一個(gè)基于 Python 的可規(guī)避竊取程序下載器,該竊取程序能夠抓取受害目標(biāo)瀏覽器中存儲(chǔ)的 cookie 和密碼。根據(jù) Guardio 實(shí)驗(yàn)室一份新報(bào)告顯示,大約每七十個(gè)目標(biāo)賬戶中就有一個(gè)賬戶最終被成功入侵,從而導(dǎo)致巨大經(jīng)濟(jì)損失。
Facebook Messenger 網(wǎng)絡(luò)釣魚
首先,黑客向 Facebook 企業(yè)賬戶發(fā)送 Messenger 釣魚信息,假裝侵犯版權(quán)或要求其提供更多產(chǎn)品信息。
Messenger 上的釣魚信息(Guardio Labs)
此外,壓縮包中還包含一個(gè)批處理文件,如果受害目標(biāo)執(zhí)行該文件,就會(huì)從 GitHub 存儲(chǔ)庫(kù)中獲取一個(gè)惡意軟件下載器,以逃避攔截列表并盡量減少明顯的痕跡。
除有效載荷(project.py)外,批腳本還獲取信息竊取惡意軟件所需的獨(dú)立 Python 環(huán)境,并通過設(shè)置竊取程序二進(jìn)制文件在系統(tǒng)啟動(dòng)時(shí)執(zhí)行來增加持久性。(project.py 文件有五層混淆,因此是使得使反病毒引擎難以捕獲該威脅)
有效載荷的部分代碼(Guardio Labs)
該惡意軟件會(huì)將受害者網(wǎng)絡(luò)瀏覽器上存儲(chǔ)的所有 cookie 和登錄數(shù)據(jù)收集到一個(gè)名為 "Document.zip "的 ZIP 壓縮包中,然后通過 Telegram 或 Discord 僵尸 API 將竊取的數(shù)據(jù)信息發(fā)送給網(wǎng)絡(luò)攻擊者。
隨后,網(wǎng)絡(luò)攻擊者會(huì)清除受害者設(shè)備上的所有 Cookie 以注銷其賬戶,這樣做的話攻擊者就有足夠的時(shí)間通過更改密碼來劫持新入侵的賬戶。(鑒于社交媒體公司可能需要一段時(shí)間才能回復(fù)有關(guān)賬戶被劫持的電子郵件,這就給威脅攻擊者利用被黑賬戶進(jìn)行欺詐活動(dòng),預(yù)留了一部分時(shí)間。)
完整的攻擊鏈(Guardio Labs)
活動(dòng)規(guī)模
目前,盡管攻擊鏈并不“新奇”,但 Guardio 實(shí)驗(yàn)室觀察到此次網(wǎng)絡(luò)攻擊的活動(dòng)規(guī)模著實(shí)令人震驚,研究人員報(bào)告稱每周大約有 10 萬(wàn)條網(wǎng)絡(luò)釣魚信息,其中大部分發(fā)送到了北美、歐洲、澳大利亞、日本和東南亞的 Facebook 用戶上。
Guardio Labs 表示此次網(wǎng)絡(luò)攻擊活動(dòng)規(guī)模龐大,F(xiàn)acebook 所有企業(yè)賬戶中約有 7% 已成為了攻擊目標(biāo),其中 0.4% 下載了惡意存檔。再加上感染該惡意軟件后,用戶仍需執(zhí)行批處理文件,因此被劫持賬戶的數(shù)量尚不清楚,但可能數(shù)量相當(dāng)可觀。
攻擊活動(dòng)或與越南黑客有關(guān)
值得一提的是,鑒于惡意軟件中有某些字符串,并使用“Coc-Coc”網(wǎng)絡(luò)瀏覽器(該瀏覽器在越南非常流行),Guardio 將本次網(wǎng)絡(luò)攻擊活動(dòng)歸因于越南黑客,。
Guardio 進(jìn)一步解釋道,消息”Thu Spam l?第 n 個(gè) ? 它被發(fā)送到 Telegram 機(jī)器人程序,并附上執(zhí)行時(shí)間的計(jì)數(shù)器,從越南語(yǔ)翻譯為“收集 X 時(shí)間的垃圾郵件”。
越南威脅攻擊組織今年以臉書為目標(biāo)開展了多次大規(guī)模活動(dòng),主要通過 Telegram 或暗網(wǎng)市場(chǎng)轉(zhuǎn)售被盜賬戶來獲利。其中在 2023 年 5 月Facebook 曾宣布其阻止了一場(chǎng)源自越南的網(wǎng)絡(luò)攻擊活動(dòng),該活動(dòng)部署了一種名為“NodeStealer”的新型信息竊取惡意軟件。2023 年 4 月,Guardio Labs 也曾披露一名越南威脅攻擊者濫用 Facebook 廣告服務(wù),用竊取信息惡意軟件感染了大約 50 萬(wàn)用戶。
