I ricercatori di Guardio Labs hanno scoperto una rete di account fake su Facebook usati per inviare milioni di messaggi di phishing tramite Messenger agli account business. L’obiettivo dei cybercriminali di origine vietnamita è distribuire malware che rubano password e cookie dai principali browser.
Phishing contro account business
L’attacco inizia con l’invio di messaggi di phishing tramite Messenger che segnalano una violazione di copyright oppure contengono una richiesta di informazioni su un prodotto. In allegato al messaggio c’è un archivio RAR o ZIP con uno script batch che preleva un dropper da GitHub o GitLab.
Il dropper è un altro file ZIP che contiene uno script CMD. Quando eseguito copia su disco il malware project.py
, crea un ambiente Python standalone e aggiunge la persistenza per l’avvio automatico. Il malware è un info-stealer che estrae cookie e password da Chrome, Edge, Firefox, Brave e Opera. I dati sono inseriti in un file ZIP e inviati ai cybercriminali tramite bot Telegram o Discord.
Il malware cancella tutti i cookie di sessione, quindi l’ignara vittima viene disconnessa dall’account. Ciò consente ai cybercriminali di prendere il controllo dell’account e cambiare le credenziali di login.
I ricercatori di Guardio Labs hanno rilevato oltre 100.000 messaggi di phishing a settimana. È stato colpito almeno il 7% degli account business su Facebook e lo 0,4% di essi ha scaricato l’allegato infetto. Non è noto però il numero di utenti che hanno eseguito i file batch.
Per proteggersi e prevenire questi rischi, ad oggi sempre più comuni, è possibile leggere la nostra guida su come riconoscere ed eliminare un virus su Facebook.