Una recente ondata di phishing sta colpendo gli account aziendali su Facebook Messenger, con oltre 100.000 account bersagliati ogni settimana. Secondo un nuovo rapporto di Guardio Labs, gli hacker utilizzano una vasta rete di account Facebook falsi e compromessi per inviare milioni di messaggi di phishing attraverso Messenger, mirando agli account aziendali di Facebook con malware che ruba password. Una truffa anticipata da Matrice Digitale tre settimane fa e che fino ad oggi ha mietuto diverse vittime senza che Facebook, sollecitata, rimediasse.
Il modus operandi degli attaccanti è ingegnoso: ingannano le vittime inducendole a scaricare un archivio RAR/ZIP che contiene un downloader per un malware basato su Python che sottrae i cookie e le password memorizzate nel browser della vittima. Questo malware, noto per la sua natura elusiva, riesce a evitare il rilevamento da parte dei motori antivirus grazie a cinque livelli di offuscamento presenti nel file project.py.
Il processo di attacco inizia con l’invio di messaggi di phishing attraverso Messenger agli account aziendali di Facebook, fingendo di essere notifiche di violazioni del copyright o richieste di ulteriori informazioni su un prodotto. L’archivio allegato contiene un file batch che, se eseguito, scarica un dropper di malware dai repository GitHub, eludendo così le blocklist e minimizzando le tracce distintive. Questo malware, una volta attivato, raccoglie tutti i cookie e i dati di accesso memorizzati nel browser web della vittima in un archivio ZIP denominato “Document.zip”, e li invia agli attaccanti tramite API bot di Telegram o Discord. In seguito, elimina tutti i cookie dal dispositivo della vittima, disconnettendoli dai loro account e dando agli scammer il tempo sufficiente per prendere il controllo dell’account compromesso modificando le password.
Guardio Labs sottolinea che, sebbene la catena di attacco non sia nuova, la scala della campagna è allarmante. Circa il 7% di tutti gli account aziendali di Facebook sono stati bersagliati, con lo 0,4% che ha scaricato l’archivio maligno. Nonostante ciò, per essere infettati dal malware, gli utenti devono ancora eseguire il file batch, quindi il numero effettivo di account dirottati rimane sconosciuto, ma potrebbe essere significativo.
Gli analisti di Guardio attribuiscono questa campagna a hacker vietnamiti, a causa delle stringhe presenti nel malware e dell’uso del browser web “Coc Coc”, popolare in Vietnam. Questi gruppi di minacce vietnamiti hanno già preso di mira Facebook con campagne su larga scala quest’anno, monetizzando gli account rubati principalmente rivendendoli tramite Telegram o mercati del dark web.