Peretas menggunakan jaringan besar akun Facebook palsu dan disusupi untuk mengirimkan jutaan pesan phising Facebook Messenger untuk menargetkan akun bisnis Facebook dengan malware pencuri kata sandi.
Pelaku menipu target untuk mengunduh arsip RAR/ZIP yang berisi pengunduh untuk stealer berbasis Python yang mengambil cookie dan kata sandi yang disimpan di browser korban.
Peneliti memperingatkan bahwa satu dari tujuh puluh akun yang ditargetkan pada akhirnya disusupi, sehingga mengakibatkan kerugian finansial yang sangat besar.
Baca juga: Phising Banding Facebook |
Phising Facebook Messenger
Para peretas memulai dengan mengirimkan pesan phising Messenger ke akun bisnis Facebook dengan berpura-pura melakukan pelanggaran hak cipta atau meminta informasi lebih lanjut tentang suatu produk.
Arsip terlampir berisi file batch yang jika dijalankan, mengambil penetes malware dari repositori GitHub untuk menghindari daftar blokir dan meminimalkan jejak yang berbeda.
Bersamaan dengan payload (project.py), skrip batch juga mengambil lingkungan Python mandiri yang diperlukan oleh malware pencuri informasi dan menambahkan persistensi dengan mengatur biner pencuri untuk dieksekusi saat startup sistem.
File project.py menampilkan lima lapisan kebingungan, sehingga menyulitkan mesin AV untuk menangkap ancaman tersebut.
Malware mengumpulkan semua cookie dan data login yang disimpan di browser web korban ke dalam arsip ZIP bernama Document.zip. Kemudian mengirimkan informasi yang dicuri ke pelaku melalui Telegram atau API bot Discord.
Pencuri menghapus semua cookie dari perangkat korban untuk mengeluarkan mereka dari akun mereka, memberikan cukup waktu bagi penipu untuk membajak akun yang baru disusupi dengan mengubah kata sandi.
Karena perusahaan media sosial memerlukan waktu cukup lama untuk merespons email tentang akun yang dibajak, hal ini memberikan waktu bagi pelaku ancaman untuk melakukan aktivitas penipuan dengan akun yang diretas.
Baca juga: InfoStealer Pencuri Facebook |
Skala Operasi Phising
Meskipun rantai serangan ini bukanlah hal yang baru, skala kampanye yang diamati oleh Guardio Labs mengkhawatirkan.
Para peneliti melaporkan sekitar 100.000 pesan phising per minggu, yang sebagian besar dikirim ke pengguna Facebook di negara berikut ini:
- Amerika Utara.
- Eropa.
- Australia.
- Jepang.
- Asia Tenggara.
Skala operasi ini sekitar 7% dari seluruh akun bisnis Facebook telah menjadi sasaran, dengan 0,4% diantaranya mengunduh arsip berbahaya tersebut.
Agar bisa terinfeksi malware, pengguna harus mengeksekusi file batch, sehingga jumlah akun yang dibajak tidak diketahui, namun jumlahnya bisa signifikan.
Baca juga: Tipu-tipu Pakai Facebook |
Peretas Vietnam
Operasi ini dikaitkan dengan peretas Vietnam karena adanya malware dan penggunaan browser web “Coc Coc”, yang menurut peneliti populer di Vietnam.
Pesan Kam Spam lần thứ yang dikirim ke bot Telegram yang dilengkapi dengan penghitung waktu eksekusi, diterjemahkan dari bahasa Vietnam sebagai Kumpulkan Spam untuk X kali.
Kelompok peretas di Vietnam telah menargetkan Facebook dengan operasi skala besar tahun ini, memonetisasi akun yang dicuri terutama dengan menjualnya kembali melalui Telegram atau pasar web gelap.
Pada bulan Mei 2023, Facebook mengumumkan bahwa mereka telah mengganggu operasi asal Vietnam yang menyebarkan malware pencuri informasi baru bernama ‘NodeStealer’ yang mengambil cookie browser.
Pada bulan April 2023 pelaku ancaman asal Vietnam juga menyalahgunakan layanan Iklan Facebook untuk menginfeksi sekitar setengah juta pengguna dengan malware pencuri informasi.
Sumber berita: