16/12/2024

Actu Cybersécurité

Phishing sur Messenger : des millions de comptes Facebook Business pris pour cible !

Les comptes Facebook Business sont pris pour cible par une campagne malveillante orchestrée par des cybercriminels ! Pour tenter de piéger les utilisateurs, des millions de messages de phishing sont envoyés sur Messenger ! Voici ce que l'on sait sur cette campagne.

Tout commence par un message envoyé sur Messenger aux propriétés de pages Facebook. Le message peut correspondre à une demande d'information au sujet d'un produit ou une réclamation faisant référence à une violation de droits d'auteur. D'après le rapport des chercheurs de Guardio Labs, on peut voir un aperçu de ce message :

Demande aide produit phishing Facebook Business
Source : Guardio Labs

En vous envoyant des messages de phishing, les cybercriminels cherchent à ce que vous téléchargiez une archive ZIP ou RAR qui contient un fichier Batch. Une fois exécuté, ce script Batch ira récupérer un logiciel malveillant codé en Python sur un dépôt GitHub.

Le malware utilisé est capable de voler les cookies de sessions et les mots de passe enregistrés dans les navigateurs. Les données sont stockées dans une archive nommée "Document.zip" qui est ensuite envoyée vers un canal Telegram ou Discord à l'aide d'une API. Un classique.

Pour être difficile à détecter par les solutions de sécurité, le fichier malveillant project.py bénéficie de 5 couches d'obfuscations. À cela s'ajoute le fait qu'il est persistant sur la machine : il s'exécutera à chaque démarrage.

Une campagne massive et mondiale

D'après le rapport des chercheurs de Guardio Labs, cette campagne se montre efficace puisque l'on estime qu'un compte Facebook sur 70 est compromis. Elle ne cible pas une zone géographique en particulier, mais semble plutôt se généraliser.

Les chercheurs estiment que 100 000 messages de phishing sont envoyés par semaine, notamment aux utilisateurs situés en Amérique du Nord, en Europe, en Australie, au Japon et en Asie du Sud-Est. D'après Guardio Labs, environ 7% de tous les comptes professionnels de Facebook ont été ciblés par cette campagne !

Flux campagne phishing facebook business 2023
Source : Guardio Labs

Suite à l'analyse du malware, cette campagne de phishing a été attribuée à des pirates vietnamiens, notamment parce qu'elle fait référence au navigateur "Coc Coc", très populaire au Vietnam.

Facebook Business : plusieurs campagnes de phishing en cours...

De mon côté, depuis quelques jours, je reçois beaucoup de messages "Your page has been disable" d'un compte nommé Suite Business et qui repend le logo de Meta. Il s'agit, là aussi, d'une tentative de phishing envoyée directement sur le Messenger de la page Facebook "IT-Connect". Voici un aperçu de ce message :

Meta Suite Business - Exemple phishing

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.