Bleeping Computer 網(wǎng)站披露，某黑客組織通過一個偽造和受損的 Facebook 賬戶網(wǎng)絡(luò)，發(fā)送數(shù)百萬條 Messenger 釣魚信息，利用密碼竊取惡意軟件攻擊 Facebook 企業(yè)賬戶。

據(jù)悉，網(wǎng)絡(luò)攻擊者通過誘騙目標(biāo)用戶下載一個 RAR/ZIP 壓縮包，壓縮包中包含一個基于 Python 的可規(guī)避竊取程序下載器，該竊取程序能夠抓取受害目標(biāo)瀏覽器中存儲的 cookie 和密碼。根據(jù)  Guardio 實驗室一份新報告顯示，大約每七十個目標(biāo)賬戶中就有一個賬戶最終被成功入侵，從而導(dǎo)致巨大經(jīng)濟(jì)損失。

Facebook Messenger 網(wǎng)絡(luò)釣魚

首先，黑客向 Facebook 企業(yè)賬戶發(fā)送 Messenger 釣魚信息，假裝侵犯版權(quán)或要求其提供更多產(chǎn)品信息。

Messenger 上的釣魚信息（Guardio Labs）

此外，壓縮包中還包含一個批處理文件，如果受害目標(biāo)執(zhí)行該文件，就會從 GitHub 存儲庫中獲取一個惡意軟件下載器，以逃避攔截列表并盡量減少明顯的痕跡。

除有效載荷（project.py）外，批腳本還獲取信息竊取惡意軟件所需的獨立 Python 環(huán)境，并通過設(shè)置竊取程序二進(jìn)制文件在系統(tǒng)啟動時執(zhí)行來增加持久性。（project.py  文件有五層混淆，因此是使得使反病毒引擎難以捕獲該威脅）

有效載荷的部分代碼（Guardio Labs）

該惡意軟件會將受害者網(wǎng)絡(luò)瀏覽器上存儲的所有 cookie 和登錄數(shù)據(jù)收集到一個名為 "Document.zip "的 ZIP 壓縮包中，然后通過 Telegram 或 Discord 僵尸 API 將竊取的數(shù)據(jù)信息發(fā)送給網(wǎng)絡(luò)攻擊者。

隨后，網(wǎng)絡(luò)攻擊者會清除受害者設(shè)備上的所有 Cookie 以注銷其賬戶，這樣做的話攻擊者就有足夠的時間通過更改密碼來劫持新入侵的賬戶。（鑒于社交媒體公司可能需要一段時間才能回復(fù)有關(guān)賬戶被劫持的電子郵件，這就給威脅攻擊者利用被黑賬戶進(jìn)行欺詐活動，預(yù)留了一部分時間。）

完整的攻擊鏈（Guardio Labs）

活動規(guī)模

目前，盡管攻擊鏈并不“新奇”，但 Guardio 實驗室觀察到此次網(wǎng)絡(luò)攻擊的活動規(guī)模著實令人震驚，研究人員報告稱每周大約有 10 萬條網(wǎng)絡(luò)釣魚信息，其中大部分發(fā)送到了北美、歐洲、澳大利亞、日本和東南亞的 Facebook 用戶上。

Guardio Labs 表示此次網(wǎng)絡(luò)攻擊活動規(guī)模龐大，F(xiàn)acebook 所有企業(yè)賬戶中約有 7% 已成為了攻擊目標(biāo)，其中 0.4% 下載了惡意存檔。再加上感染該惡意軟件后，用戶仍需執(zhí)行批處理文件，因此被劫持賬戶的數(shù)量尚不清楚，但可能數(shù)量相當(dāng)可觀。

攻擊活動或與越南黑客有關(guān)

值得一提的是，鑒于惡意軟件中有某些字符串，并使用“Coc-Coc”網(wǎng)絡(luò)瀏覽器（該瀏覽器在越南非常流行），Guardio 將本次網(wǎng)絡(luò)攻擊活動歸因于越南黑客,。

Guardio 進(jìn)一步解釋道，消息”Thu Spam l?第 n 個 ? 它被發(fā)送到 Telegram 機(jī)器人程序，并附上執(zhí)行時間的計數(shù)器，從越南語翻譯為“收集 X 時間的垃圾郵件”。

越南威脅攻擊組織今年以臉書為目標(biāo)開展了多次大規(guī)?；顒樱饕ㄟ^ Telegram 或暗網(wǎng)市場轉(zhuǎn)售被盜賬戶來獲利。其中在 2023 年 5 月Facebook 曾宣布其阻止了一場源自越南的網(wǎng)絡(luò)攻擊活動，該活動部署了一種名為“NodeStealer”的新型信息竊取惡意軟件。2023 年 4 月，Guardio Labs 也曾披露一名越南威脅攻擊者濫用 Facebook 廣告服務(wù)，用竊取信息惡意軟件感染了大約 50 萬用戶。