Cyberthreat.id- Peretas yang diyakini jaringan Vietnam diduga kuat telah mengambil alih sejumlah akun bisnis Facebook. Caranya, pelaku mengirim pesan phising lewat Messenger yang sebenarnya adalah  malware pencuri kata sandi.

Penyerang menipu target untuk mengunduh file RAR/ZIP yang berisi pengunduh file pencuri berbasis Python yang mengambil cookie dan kata sandi yang disimpan di browser korban.

Dalam laporan baru yang dibuat oleh Guardio Labs, para peneliti memperingatkan bahwa sekitar satu dari tujuh puluh akun yang ditargetkan pada akhirnya dapat diambil alih, mengakibatkan kerugian finansial yang sangat besar.

Cara Kerja Peretas Ambil Alih Akun Bisnis Facebook

Dikutip dari Bleeping Computer, Selasa (12 September 2023), para peretas memulai dengan mengirimkan pesan phishing Messenger ke akun bisnis Facebook dengan berpura-pura seolah pemilik akun telah melakukan pelanggaran hak cipta atau meminta informasi lebih lanjut tentang suatu produk.

File arsip yang dilampirkan berisi file batch yang, jika dijalankan, mengambil penetes malware dari repositori GitHub untuk menghindari daftar blokir.

Bersamaan dengan payload (project.py), skrip batch juga mengambil ekosistem Python yang diperlukan oleh malware pencuri informasi dan menambahkan persistensi dengan mengatur biner pencuri untuk dieksekusi saat startup sistem.

File project.py memiliki lima lapisan sehingga menyulitkan mesin AV untuk mendeteksi ancaman tersebut.

Malware mengumpulkan semua cookie dan data login yang disimpan di browser web korban ke dalam arsip ZIP bernama 'Document.zip'. Kemudian mengirimkan informasi yang dicuri ke penyerang melalui Telegram atau API bot Discord.

Terakhir, pencuri menghapus semua cookie dari perangkat korban, yang otomatis membuat pemilik akun logout dari akunnya, membuat peretas punya cukup waktu untuk membajak akun yang baru disusupi dengan mengubah kata sandi.

Karena perusahaan media sosial memerlukan waktu cukup lama untuk merespons email tentang akun yang dibajak, hal ini memberikan waktu bagi pelaku ancaman untuk melakukan aktivitas penipuan dengan akun yang diretas.

Meskipun rantai serangan ini bukanlah hal baru, skala serangan yang diamati oleh Guardio Labs cukup mengkhawatirkan.

Para peneliti melaporkan sekitar 100.000 pesan phishing per minggu, yang sebagian besar dikirim ke pengguna Facebook di Amerika Utara, Eropa, Australia, Jepang, dan Asia Tenggara.
​
Guardio Labs melaporkan bahwa skala serangan ini menyasar sekitar 7% dari seluruh akun bisnis Facebook, di mana 0,4% diantaranya telah mengunduh arsip berbahaya tersebut.

Agar bisa terinfeksi malware, pengguna masih harus mengeksekusi file batch, sehingga jumlah akun yang dibajak tidak diketahui, namun jumlahnya bisa signifikan.

Guardio mengaitkan serangan ini dengan peretas Vietnam karena adanya malware dan penggunaan browser web "Coc Coc", yang menurut para peneliti populer di Vietnam.

“Pencuri Phyton ini mengungkap asal usul pelaku ancaman ini di Vietnam,” jelas Guardio.

"Pesan" Kam Spam lần thứ "yang dikirim ke bot Telegram yang dilengkapi dengan penghitung waktu eksekusi, diterjemahkan dari bahasa Vietnam sebagai" Kumpulkan Spam untuk X kali "."

Kelompok ancaman di Vietnam telah menargetkan Facebook dengan kampanye skala besar tahun ini, memonetisasi akun yang dicuri terutama dengan menjualnya kembali melalui Telegram atau pasar web gelap.

Pada bulan Mei 2023, Facebook mengumumkan telah mengganggu serangan asal Vietnam yang menyebarkan malware pencuri informasi baru bernama 'NodeStealer' yang mengambil cookie browser.

Pada bulan April 2023, Guardio Labs kembali melaporkan tentang pelaku ancaman asal Vietnam yang menyalahgunakan layanan Iklan Facebook untuk menginfeksi sekitar setengah juta pengguna dengan malware pencuri informasi.

Untuk mencegah agar akun Facebook bisnis anda tidak dicuri, jangan pernah membuka file kiriman dari orang yang tak anda kenal. Karena, bisa jadi file itu berisi perangkat lunak jahat yang dapat mencuri kata sandi Anda.[]