Wie Hacker es auf Benutzer abgesehen haben
Diese Nachrichten enthalten ein RAR/ZIP-Archiv, das einen Downloader für einen ausweichenden Python-basierten Stealer enthält. Diese Datei kann im Browser des Opfers gespeicherte Cookies und Passwörter stehlen. Forscher haben herausgefunden, dass fast eines von siebzig Zielkonten kompromittiert wird und den Nutzern massive finanzielle Verluste beschert. Der Bericht enthält auch Screenshots, die erklären, wie diese Facebook-Nachrichten funktionieren.
Zunächst versenden Hacker Phishing-Nachrichten an Facebook-Geschäftskonten. Diese Nachrichten geben entweder vor, Urheberrechtsverletzungen zu melden oder fordern weitere Informationen zu einem Produkt an. Das angehängte Archiv enthält eine Batchdatei, aus der bei Ausführung ein Malware-Dropper abgerufen werden kann GitHub Repositories, um Sperrlisten zu umgehen und markante Spuren zu minimieren.
Neben der Nutzlast (project.py) ruft das Batch-Skript auch ein Standalone-Skript ab Python Umfeld. Dies ist für die Informationen stehlende Malware erforderlich und erhöht die Ausdauer, indem die Stealer-Binärdatei so eingestellt wird, dass sie beim Systemstart ausgeführt wird. Die project.py-Datei verfügt über fünf Schutzebenen, um AV-Engines das Erkennen der Bedrohung zu verwirren und zu erschweren.
Diese Malware kann die im Webbrowser des Opfers gespeicherten Cookies und Anmeldedaten in einem ZIP-Archiv namens „Document.zip“ sammeln. Anschließend werden die gestohlenen Informationen über die Telegram- oder Discord-Bot-API an die Angreifer gesendet.
Am Ende löscht der Dieb alle Cookies vom Gerät des Opfers, um es von seinen Konten abzumelden. Dies gibt den Betrügern genügend Zeit, das neu kompromittierte Konto durch Ändern der Passwörter zu kapern.
Es ist wichtig zu beachten, dass Social-Media-Unternehmen eine Weile brauchen, um auf E-Mails über gekaperte Konten zu antworten. Dies gibt Cyberkriminellen auch mehr Zeit, die gehackten Konten für betrügerische Aktivitäten zu missbrauchen.
Das Ausmaß der Hacking-Kampagne, die von entdeckt wurde Guardio Labs ist alarmierend, da es weit verbreitet ist und mehrere Regionen betrifft. Dem Bericht zufolge wurden jede Woche fast 100.000 Phishing-Nachrichten hauptsächlich an Facebook-Nutzer in Nordamerika, Europa, Australien, Japan und Südostasien gesendet.
Der Bericht stellt außerdem fest, dass etwa 7 % aller Geschäftskonten von Facebook angegriffen wurden. Davon wurde das Schadarchiv von 0,4 % der Konten heruntergeladen. Um jedoch von der Malware infiziert zu werden, müssen die Benutzer noch die Batch-Datei ausführen.
Guardio führte diese Kampagne auch vietnamesischen Hackern zu. Die Forscher entdeckten Zeichenfolgen in der Schadsoftware, die den in Vietnam beliebten Webbrowser „Coc Coc“ nutzte.