12/09/23
В новом отчете компании Guardio Labs исследователи предупреждают о масштабной фишинговой кампании, ориентированной на бизнес-аккаунты Facebook*. Хакеры отправляют сообщения через Facebook Messenger, маскируя их под уведомления о нарушении авторских прав или запросы информации о продукте. Целью атаки является заражение целевых компьютеров вредоносным ПО для кражи паролей и cookie-файлов. Это передает Securitylab.
При открытии вложенного в сообщение архива RAR/ZIP активируется пакетный файл, который загружает вредоносное ПО с репозиториев GitHub, чтобы обойти блокировки. Вредоносное ПО использует 5 слоев обфускации, что затрудняет обнаружение антивирусами.
После активации вредоносный код собирает все куки и данные для входа в систему, сохраненные в веб-браузере жертвы, и отправляет их хакерам через Telegram или Discord. Затем все куки удаляются, что дает злоумышленникам время для изменения паролей и захвата аккаунтов.
По данным Guardio Labs, каждую неделю рассылается около 100 000 фишинговых сообщений, в основном пользователям из Северной Америки, Европы, Австралии, Японии и Юго-Восточной Азии. Ориентировочно 7% всех бизнес-аккаунтов Facebook стали мишенями кампании, и 0,4% скачали вредоносный архив. Guardio Labs связывает кампанию с вьетнамскими хакерами, указывая на строки кода на вьетнамском языке и использование популярного во Вьетнаме веб-браузера «Coc Coc».
Обнаруженная кампания не только наносит огромный финансовый ущерб, но и подрывает доверие к платформе Facebook как инструменту для ведения бизнеса. Эксперты Guardio Labs настоятельно рекомендуют повышать уровень кибергигиены, использовать двухфакторную аутентификацию (2FA) и быть настороже при получении подозрительных сообщений, даже если они приходят от знакомых контактов.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
