Millones de cuentas comerciales de Facebook en todo el mundo están siendo blanco de mensajes de phishing, con una tasa de éxito cercana a una de cada 70 víctimas infectadas, dicen los investigadores.
Los atacantes han estado abusando de la plataforma Messenger de Facebook para vender millones de mensajes de phishing dirigidos. Según la firma de ciberseguridad Guardio, los ciberdelincuentes se dirigen a vendedores de mercados altamente calificados y, a veces, a grandes corporaciones con consultas comerciales falsas.
Por ejemplo, el mensaje falso comenzará con un simple “hola” desde una cuenta falsa. Desde la perspectiva de la víctima, ese es sólo otro cliente potencial.
El mensaje de los atacantes continúa preguntando si un producto todavía está disponible. La única forma de saber de qué “producto” está hablando el cliente falso es descargar un archivo.
De esta manera, los delincuentes intentan convencer a las víctimas para que descarguen un archivo RAR o ZIP que contiene un descargador para un ladrón de información basado en Python. Los atacantes evitan los escáneres automatizados codificando el contenido.
Las cuentas comerciales legítimas son un objetivo lucrativo para los actores de amenazas. Las credenciales robadas pueden venderse rápidamente en foros para delincuentes que las utilizan para vender anuncios falsos, malware y estafas.
Los investigadores de Guardio afirman que si bien el método de ataque aquí está lejos de ser novedoso, la escala de la campaña es preocupante. En sólo 30 días, los atacantes lograron atacar un asombroso 7% de todas las cuentas comerciales de Facebook, y una de cada 250 víctimas descargó el archivo malicioso.
La tasa general de éxito de la campaña parece aún mayor: Guardio afirma que uno de cada 70 objetivos ha sido infectado en lo que describió como una asombrosa “tasa de éxito” para la empresa criminal.
Los investigadores no aclararon la razón precisa de la discrepancia entre estos dos conjuntos de cifras.
Siguiendo las migajas dejadas por los perpetradores, el equipo de Guardio dedujo que los actores de la amenaza probablemente provienen de Vietnam: algunos de los comandos están en vietnamita y hay indicios del navegador Coc Coc, popular en la nación del sudeste asiático.
Los tokens API de Telegram/Discord dejados por los robots atacantes llevaron a los investigadores a una cuenta de Telegram llamada “MrTonyName”, que creen que es una de las que están detrás del ataque.
Info – Ciberseguridad Latam