Phishing su Messenger: attaccati 100mila account a settimana

Gli account aziendali Facebook sono tra gli obiettivi principali degli hacker di tutto il mondo. Infatti, grazie ad attività di phishing su Messenger, questi riescono ad infettare gli account con malware e rubare le password dei malcapitati. Secondo un recente studio condotto da Guardio Labs, nell’ultimo mese, su Facebook Messenger sono stati diffusi milioni di messaggi con finte proposte commerciali (naturalmente inviati da profili fake) con lo scopo di colpire diversi account aziendali presenti sulla piattaforma. Purtroppo, come ha potuto rilevare, Guardio Labs, il tasso di successo di questa attività criminale è stato molto alto. Gli account compromessi sono infatti stati 1 su 70.

Phishing su Messenger: come funziona la truffa e come proteggersi

Gli attacchi phishing su Messenger sono semplici, quanto “letali” per le aziende. Quest’ultime, infatti, ricevono dei messaggi sul proprio account relative a richieste sui propri prodotti o finte segnalazioni di violazioni di copyright. Gli hacker inviano inoltre un file ZIP/RAR ospitato su GitHub o GitLab, contenente un file di script batch che, se eseguito, recupera un dropper di malware capace di eludere le blocklist. Il file scaricato contiene un altro file di script batch con estensione CMD. Oltre a copiare il malware project.py su disco, lo script crea un ambiente Python autonomo richiesto dal malware e aggiunge la persistenza impostando il file binario stealer che viene eseguito all’avvio del sistema. Il malware estrae quindi i cookie e le password dal browser e li caricherà nella cartella “Document.zip”. Dopo aver ricevuto le informazioni tramite bot Telegram o Discord, gli hacker eliminano i cookie e cambiano le password dell’account.

Come rivelato ancora da Guardio Labs, questa campagna di phishing su Messenger dovrebbe partire da hacker vietnamiti. Ciò si deduce sia dalle stringhe presenti nel malware, sia dall’utilizzo del browser “Coc Coc”, molto popolare in Vietnam. Inoltre, il messaggio che viene inviato al bot Telegram è lingua vietnamita. Questo tipo di attacchi ha colpito diversi paesi in tutto il mondo, inviando oltre 100.000 messaggi di phishing alla settimana agli utenti Facebook. Per proteggersi da questo tipo di attacchi, è sempre consigliato non aprire mai messaggi (e scaricare file) provenienti da account sospetti.