0
0
Os invasores têm como alvo milhões de contas comerciais do Facebook com mensagens maliciosas, enviadas via Facebook Messenger a partir de uma botnet de contas pessoais falsas e sequestradas do Facebook. O objetivo é espalhar um malware que rouba informações e pode interceptar sessões de navegação e cookies de contas, e está atingindo 100 mil contas comerciais do Facebook por semana, segundo pesquisadores.
O ladrão baseado em Python infecta com sucesso cerca de 1,4% dos alvos – ou cerca de um em cada 70 daqueles alcançados, revelou o Guardio Labs em uma postagem no blog em 11 de setembro. Guardio apelidou o esforço de “MrTonyScam”, com base no nome de o administrador de um canal do Telegram com o qual o ladrão interage.
“A plataforma Messenger do Facebook foi fortemente abusada no mês passado para espalhar mensagens intermináveis com anexos maliciosos de um enxame de contas pessoais falsas e sequestradas”, escreveu Oleg Zaytsev, pesquisador de segurança do Guardio Labs, no post.
Na verdade, tem havido recentemente um aumento em várias campanhas de ameaças destinadas a sequestrar contas empresariais do Facebook , todas elas apoiando um negócio próspero nos mercados obscuros do Telegram para vender estas contas a cibercriminosos para utilizarem em futuras atividades nefastas.
“Vemos vários canais e usuários oferecendo de tudo, desde contas específicas de alto valor até ‘registros’ de centenas e milhares de contas comerciais sequestradas (BM – Business Manager), contas de publicidade com reputação ou até mesmo métodos de pagamento e créditos vinculados (Contas de Agência) ”, escreveu Zaytsev.
Detalhes do ataque MrTonyScam no Facebook
Algumas das táticas e técnicas da campanha coincidem com as anteriores usadas por um ator de ameaça baseado no Vietnã, de acordo com a pesquisa – com a maior parte das vítimas da campanha de longo alcance baseada na América do Norte, Europa, Ásia e Austrália .
Do ponto de vista técnico, as mensagens do ataque contêm uma carga compactada de ladrão que tem como alvo os navegadores instalados das vítimas para extrair cookies de sessão; estes são então enviados aos canais de mensagens instantâneas dos atores da ameaça em uma “operação rápida e eficaz”, escreveu Zaytsev.
Ele acrescentou que há vários aspectos da campanha que parecem contribuir para a sua taxa incomum de sucesso – apesar de exigirem ação por parte dos destinatários das mensagens. Uma delas é a capacidade das mensagens – que variam em conteúdo, mas compartilham contexto semelhante – passarem pelos detectores de spam que procuram correspondências em massa. Por exemplo, algumas das mensagens são reclamações dirigidas à página por violação de políticas, enquanto outras podem incluir perguntas relacionadas a um produto que provavelmente é anunciado pela conta alvo. Essa variação e o uso de nomes de arquivos diferentes, bem como a adição de caracteres Unicode a palavras diferentes, “tornam cada mensagem única”, escreveu Zaytsev.
As mensagens também contêm um link que parece ser relevante para o conteúdo enviado na mensagem, como um link para um produto para verificar sua disponibilidade. Se clicado, o link baixa uma carga útil de “ ladrão clássico ” arquivada em formatos RAR ou zip, que então usa um processo de várias etapas e cinco camadas de ofuscação para ocultar seu conteúdo, escreveu Zaytsev. A carga útil também é gerada dinamicamente para evitar detecção estática.
“O fluxo de ataque é uma combinação de técnicas, abuso de plataforma livre/aberta, bem como numerosos métodos de ofuscação e ocultação — somando um fluxo bastante complexo”, segundo o pesquisador.
Uma vez executado, o “script Python simples e direto extrai todos os cookies e dados de login (nomes de usuário e senhas salvos) de vários navegadores populares que procura no computador da vítima”, explicou ele no post. “Tudo isso junto é enviado para um canal do Telegram usando a API do Telegram/Discord bot, o que é uma prática comum entre golpistas.”
O ato final da carga útil é excluir todos os cookies após roubá-los, bloqueando efetivamente o acesso das vítimas às suas contas. Isso dá aos golpistas tempo para sequestrar sua sessão e substituir a senha, para que as vítimas não possam revogar a sessão roubada ou alterar a senha, disse Zaytsev.
Expondo brechas de segurança
MrTonyScam e outras campanhas direcionadas a usuários empresariais do Facebook demonstram como os agentes de ameaças continuam a expor brechas de segurança tanto nos navegadores modernos – que continuam a armazenar senhas e cookies de usuários facilmente descriptografados – quanto em serviços de mídia social como o Facebook, disse ele.
“Os atores de ameaças sempre encontrarão novas maneiras de chegar até nós, sequestrar contas sociais e abusar de serviços legítimos para seus atos maliciosos”, escreveu Zaytsev. Enquanto isso, o Facebook e outros serviços de mídia social ainda não conseguem detectar o sequestro de contas em tempo real, enquanto o ecossistema cibercriminoso da Dark Web prospera e atrai cada vez mais atores de ameaças, escreveu ele.
Estas ameaças exigem ainda mais vigilância por parte dos utilizadores para considerarem com suspeita toda e qualquer mensagem de utilizadores que não reconhecem, bem como a utilização de “mais camadas de deteção de segurança” para combater mensagens maliciosas antes que cheguem a uma rede social. caixa de entrada da mídia, aconselhou Zaytsev.
FONTE: DARKREADING