Neue Facebook-Phishing-Kampagne zielt auf Unternehmen ab: Aktuell nutzen Hacker eine große Anzahl gefälschter und kompromittierter Facebook-Konten, um Millionen von Messenger-Phishing-Nachrichten an Facebook-Geschäftskonten zu versenden. Die Angreifer bringen ihre Opfer dazu, ein RAR/ZIP-Archiv herunterzuladen, das einen Downloader für einen Python-basierten Stealer enthält, der im Browser des Opfers gespeicherte Cookies und Passwörter stiehlt.
Die Hacker versenden zunächst Messenger-Phishing-Nachrichten an Facebook-Geschäftskonten, in denen sie Verletzungen des Urheberrechtes vortäuschen, weitere Informationen zu einem Produkt anfordern oder eine Beschwerde aussprechen. Das an die Messenger-Nachricht angehängte ZIP/RAR-Archiv enthält eine Batchdatei, die bei der Ausführung einen Malware-Dropper abruft, um Blocklisten zu umgehen. Nach der Installation wird die Batchdatei beim Systemstart ausgeführt.
Die Facebook-Phishing-Malware sammelt Cookies und Anmeldedaten
Die Malware sammelt alle im Webbrowser des Opfers gespeicherten Cookies und Anmeldedaten in einem ZIP-Archiv namens „Document.zip“. Anschließend werden die gestohlenen Informationen z. B. mithilfe der Telegram- oder Discord-Bot-API an die Angreifer gesendet.
Mithilfe der gestohlenen Informationen kapern die Betrüger Facebook-Geschäftskonten
Danach löschen die Betrüger alle Cookies vom Gerät des Opfers. Dadurch wird das Opfer von seinem Facebook-Konto abgemeldet. Nach der Abmeldung des Opfers haben die böswilligen Akteure genügend Zeit, das kompromittierte Konto durch Ändern der Passwörter zu kapern.
Laut einem aktuellen Bericht von bleepingcomputer werden etwa 100.000 dieser Phishing-Nachrichten pro Woche an Facebook-Geschäftskonten in Europa, Nordamerika, Australien, Japan und Südostasien gesendet.
Die Meta Anti-Viren und Malware-Systeme erkennen diese neue Phishing-Variante, die den javascript-basierten NodeStealer-Varianten ähnelt, noch nicht. Die Malware ist ausserdem dazu in der Lage, sich nach der Installation auf den Systemen der Opfer selbst zu löschen, bevor sie von Antivirenprogrammen (AV) aufgespürt wird. Die python-basierte Malware verfügt über fünf Verschleierungsebenen, die es AV-Engines grundsätzlich schwer macht, die Bedrohung zu erkennen.
So kannst du dich und dein Unternehmen vor Facebook-Messenger-Phishing schützen:
- Überlege es dir gut, bevor du etwas herunterlädst.
- Wenn du eine Facebook-Messenger-Nachricht mit einem Dateianhang in Form eines ZIP- oder RAR-Archives erhältst, überprüfe den Absender sowie den Inhalt (Text) der Facebook-Messenger-Nachricht auf Echtheit.
- Wenn du eine angehängte ZIP- oder RAR-Datei dennoch herunterladen und öffnen willst, schaue sie dir zunächst in einer gesicherten Umgebung, z. B. in einer Sandbox, an.
- Vorsicht ist die Mutter der Porzelankiste: Wenn du via Facebook-Messenger ein RAR- oder ZIP-Archiv erhältst in dem sich eine Batchdatei oder eine andere ausführbare Datei befindet, solltest du sie auf gar keinen Fall entpacken und öffnen, sondern nach Möglichkeit sofort löschen!
- Halte deine Systeme und deine Software immer auf dem allerneuesten Stand.
- Verwende eine Firewall und Antiviren-Software in deinen Netzwerken, auf deinen Systemen bzw. Geräten.
- Befolge die Sicherheits-Tipps von Facebook zum Thema Phishing.
- Melde verdächtig erscheinende Nachrichten und Profile bei Facebook.
Solltest du kompromittiert worden sein, kannst du dich gerne an uns wenden. Wir helfen dir effektiv, schnell und unkompliziert bei Malwarebefall.
Für weitere Fragen und Informationen zum Thema IT-Sicherheit, Cybersecurity oder bei Interesse an Security Awareness Trainings, Vorträge und Workshops kannst du dich jederzeit unter hallo@muennecke-vollmers.de oder +49 4762 363 95 55 an uns wenden.
Diese Beiträge könnten dir auch gefallen: