Peretas yang diduga tergabung dalam jaringan Vietnam disebut telah berhasil mengambil alih sejumlah akun bisnis di Facebook. Metode ini melibatkan pelaku mengirimkan pesan phishing melalui Messenger, yang pada dasarnya adalah malware pencuri kata sandi.
Dilansir dari Cyberthreat Id, Penyerang menipu target agar mengunduh file RAR/ZIP yang berisi malware pencuri file berbasis Python yang mengambil cookie dan kata sandi yang disimpan di browser korban.
Dalam laporan baru dari Guardio Labs, para peneliti memperingatkan bahwa sekitar 1 dari 70 akun yang ditargetkan dapat diretas, yang menyebabkan kerugian finansial yang besar.
Baca Juga : Serangan Siber Incar Pemilu 2024, Keamanan Siber dan Infrastruktur Perlu Ditingkatkan Lagi!
Bagaimana peretas mengambil alih akun bisnis Facebook
Mengutip dari Bleeping Computer, Selasa 12/09/2023. Peretas memulai dengan mengirimkan pesan phishing di Messenger ke akun bisnis Facebook yang mengklaim pelanggaran hak cipta oleh pemilik akun atau meminta informasi lebih lanjut tentang suatu produk. Arsip terlampir berisi file batch yang, ketika dijalankan, mengambil penetes malware dari repositori GitHub agar tidak diblokir.
Selain payload (project.py), skrip batch juga menggunakan ekosistem Python yang digunakan malware untuk mencuri informasi permintaan dan meningkatkan persistensi dengan menyetel biner pencuri agar berjalan saat startup.sistem dinamis. File project.py memiliki lima lapisan, sehingga menyulitkan alat antivirus untuk mendeteksi ancaman.
Malware mengumpulkan semua cookie dan data login yang disimpan di browser web korban ke dalam arsip ZIP bernama “Document.zip”. Ia kemudian mengirimkan informasi yang dicuri ke penyerang melalui Telegram atau API bot Discord. Terakhir, pencuri menghapus semua cookie dari perangkat korban, yang secara otomatis mengeluarkan pemegang akun dari akunnya, memberikan cukup waktu bagi peretas untuk mengambil alih akun yang baru disusupi dengan mengganti kata sandi yang diubah.
Baca Juga : Bermodal Akun Fiktif Dua Mantan Driver Ojol Berhasil Raup Rp 2,2 Miliar Setelah Bobol Goto Go-jek
Karena perusahaan media sosial membutuhkan waktu lama untuk merespons email tentang akun yang diretas, hal ini memberikan waktu bagi pelaku kejahatan untuk melakukan aktivitas penipuan dengan akun yang diretas. Meskipun rangkaian serangan ini bukanlah hal baru, skala serangan yang diamati oleh Guardio Labs cukup mengkhawatirkan. Para peneliti melaporkan sekitar 100.000 pesan phishing per minggu, yang sebagian besar dikirim ke pengguna Facebook di Amerika Utara, Eropa, Australia, Jepang, dan Asia Tenggara.
Guardio Labs melaporkan bahwa skala serangan ini menargetkan sekitar 7% dari seluruh akun bisnis di Facebook, dan 0,4% di antaranya mengunduh arsip berbahaya. Agar bisa terinfeksi malware, pengguna harus selalu menjalankan file batch. Oleh karena itu, jumlah akun yang diretas tidak diketahui, namun jumlahnya mungkin signifikan. Guardio mengaitkan serangan tersebut dengan peretas Vietnam karena adanya malware dan penggunaan browser web “Coc Coc”, yang menurut para peneliti di Vietnam.
“Pencuri Python ini mengungkap asal mula ancaman ini di Vietnam,” jelas Guardio.
“Pesan “Kam Spam lần thứ” yang dikirim ke bot Telegram yang dilengkapi dengan pengatur waktu eksekusi diterjemahkan dari bahasa Vietnam sebagai “Kumpulkan spam X kali”.
Di Vietnam, kelompok ancaman telah menargetkan Facebook dengan kampanye skala besar tahun ini, memonetisasi akun yang dicuri terutama dengan menjualnya kembali melalui Telegram atau situs web gelap. Pada Mei 2023, Facebook mengumumkan bahwa mereka telah mencegah serangan berbasis di Vietnam yang menyebarkan malware pencuri informasi baru yang disebut “NodeStealer” untuk mengumpulkan cookie browser. Pada bulan April 2023, Guardio Labs kembali melaporkan bahwa pelaku ancaman asal Vietnam menyalahgunakan layanan periklanan Facebook untuk menginfeksi sekitar setengah juta pengguna dengan malware pencuri informasi. Untuk mencegah akun Facebook bisnis Anda dicuri, jangan pernah membuka file postingan dari orang yang tidak Anda kenal. Karena file tersebut mungkin berisi malware yang dapat mencuri kata sandi Anda.
