Phishing sur Messenger : des millions de comptes Facebook Business pris pour cible !
Les comptes Facebook Business sont pris pour cible par une campagne malveillante orchestrée par des cybercriminels ! Pour tenter de piéger les utilisateurs, des millions de messages de phishing sont envoyés sur Messenger ! Voici ce que l'on sait sur cette campagne.
Tout commence par un message envoyé sur Messenger aux propriétés de pages Facebook. Le message peut correspondre à une demande d'information au sujet d'un produit ou une réclamation faisant référence à une violation de droits d'auteur. D'après le rapport des chercheurs de Guardio Labs, on peut voir un aperçu de ce message :
En vous envoyant des messages de phishing, les cybercriminels cherchent à ce que vous téléchargiez une archive ZIP ou RAR qui contient un fichier Batch. Une fois exécuté, ce script Batch ira récupérer un logiciel malveillant codé en Python sur un dépôt GitHub.
Le malware utilisé est capable de voler les cookies de sessions et les mots de passe enregistrés dans les navigateurs. Les données sont stockées dans une archive nommée "Document.zip" qui est ensuite envoyée vers un canal Telegram ou Discord à l'aide d'une API. Un classique.
Pour être difficile à détecter par les solutions de sécurité, le fichier malveillant project.py bénéficie de 5 couches d'obfuscations. À cela s'ajoute le fait qu'il est persistant sur la machine : il s'exécutera à chaque démarrage.
Une campagne massive et mondiale
D'après le rapport des chercheurs de Guardio Labs, cette campagne se montre efficace puisque l'on estime qu'un compte Facebook sur 70 est compromis. Elle ne cible pas une zone géographique en particulier, mais semble plutôt se généraliser.
Les chercheurs estiment que 100 000 messages de phishing sont envoyés par semaine, notamment aux utilisateurs situés en Amérique du Nord, en Europe, en Australie, au Japon et en Asie du Sud-Est. D'après Guardio Labs, environ 7% de tous les comptes professionnels de Facebook ont été ciblés par cette campagne !
Suite à l'analyse du malware, cette campagne de phishing a été attribuée à des pirates vietnamiens, notamment parce qu'elle fait référence au navigateur "Coc Coc", très populaire au Vietnam.
Facebook Business : plusieurs campagnes de phishing en cours...
De mon côté, depuis quelques jours, je reçois beaucoup de messages "Your page has been disable" d'un compte nommé Suite Business et qui repend le logo de Meta. Il s'agit, là aussi, d'une tentative de phishing envoyée directement sur le Messenger de la page Facebook "IT-Connect". Voici un aperçu de ce message :
