هکرهای ویتنامی از مسنجر فیسبوک برای کمپین جدید حمله فیشینگ استفاده میکنند. در این حمله خرابکارها از طریق حسابهای ربوده شده، بدافزار براساس پایتون را توزیع میکنند و هدفشان ربودن حسابهای تجاری است.
اولگ زایتسف، محقق آزمایشگاه Guardio Labs گفت: این کمپین از یک گروه ویتنامی نشات میگیرد.آنها از یک فایل کوچک فشرده استفاده میکنند که شامل یک stealer پایتون است که از روش مبهم سازی ساده و در عین حال موثر استفاده میکنند.
در این حملات، که MrTonyScam نامیده میشود، پیامهایی برای قربانیان احتمالی فرستاده میشود و آنها را ترغیب میکند روی فایلهای فشرده کلیک کنند. بعد از کلیک کردن، یعنی بعد از مرحله اول، وارد مرحله دوم شده و بدافزار را از روی گیتهاب یا گیتلب دانلود میکند.
این payload نیز حاوی یک فایل CMD است، یک stealer مبهم پایتون را در خود جای میدهد که تمام کوکیها و اعتبارنامهها (نامکاربری و رمزعبور) ورود به حسابهای کاربری را از روی مرورگرهای وب مختلف به سرقت برده و به یک نقطه پایانی API تلگرام یا دیسکورد که تحت کنترل خرابکار است منتقل میکند.
یک تاکتیک هوشمندانه که توسط مجرمان سایبری در این حمله استفاده شده، حذف تمام کوکیها از سمت کاربر است، البته بعد از سرقت این کوکیها و اعتبارنامهها. بدین ترتیب به صورت موثر کنترل حساب را بدست میگیرند.
چرا محققان بر این باورند که این کمپین از طرف هکرهای ویتنامی است؟ به دلیل وجود منابع به زبان ویتنامی در سورس کد پایتون این بدافزار است.
همانطور که اشاره شد، این حمله نیاز به تعامل کاربر دارد. طبق برآورد محققان در ۳۰ روز گذشته، از هر ۲۵۰ قربانی یک نفر روی فایل فشرده مخرب کلیک کرده است.
طبق گزارشات بیشترین قربانیهای این حمله از ایالت متحده آمریکا، استرالیا، کانادا، فرانسه، آلمان، اندونزی، ژاپن، نپال، اسپانیا، فیلیپین و ویتنام بودهاند.
منبع: https://thehackernews.com/2023/09/vietnamese-hackers-deploy-python-based.html
