NodeStealer tager sigte på virksomhedskonti på Facebook
I en igangværende kampagne bliver Facebook Business-konti målrettet mod vildledende beskeder, der sigter mod at indsamle ofrenes legitimationsoplysninger. Disse beskeder er en del af en kampagne, der anvender en variant af den Python-baserede NodeStealer-malware, der potentielt giver angribere mulighed for at få kontrol over disse konti for efterfølgende ondsindede aktiviteter.
Ifølge Jan Michael, en forsker ved Netskope Threat Labs, rammer angrebene primært ofre i Sydeuropa og Nordamerika, der spænder over forskellige industrier, men med et særligt fokus på fremstillingstjenester og teknologisektorer.
NodeStealer, som oprindeligt blev identificeret af Meta i maj 2023, var oprindeligt en JavaScript-baseret malware designet til at stjæle cookies og adgangskoder fra webbrowsere og kompromittere konti på platforme som Facebook, Gmail og Outlook.
Palo Alto Networks Unit 42 afslørede for nylig en separat angrebsbølge, der fandt sted i december 2022, der involverede en Python-version af NodeStealer, hvoraf nogle var tilpasset til at lette tyveri af kryptovaluta.
Netskopes seneste resultater tyder på, at de vietnamesiske trusselsaktører, der er ansvarlige for disse angreb, sandsynligvis har genoptaget deres indsats, og de kan have vedtaget taktikker, der blev brugt af andre trusselsaktører i samme region med lignende mål.
NodeStealer leveret i arkiver over ondsindede meddelelser
Tidligere på ugen afslørede Guardio Labs en relateret taktik, der involverer svigagtige beskeder sendt via Facebook Messenger, der stammer fra et botnet af falske og kompromitterede personlige konti. Disse meddelelser leverer ZIP- eller RAR-arkivfiler indeholdende NodeStealer-malwaren til intetanende modtagere.
Den samme metode tjener som det første middel til at distribuere RAR-filer, der er hostet på Facebooks indholdsleveringsnetværk (CDN). Disse arkiver bruger billeder af defekte produkter som lokkemad for at overtale Facebook-virksomhedssideejere eller -administratorer til at downloade malware-nyttelasten.
Ved udførelse åbner et batchscript Chrome-webbrowseren og omdirigerer offeret til en godartet webside. Samtidig kører en PowerShell-kommando i baggrunden for at hente yderligere nyttelast, inklusive Python-fortolkeren og NodeStealer-malwaren.
NodeStealer-malwaren er, udover at indfange legitimationsoplysninger og cookies fra forskellige webbrowsere, designet til at indsamle systemmetadata og overføre disse oplysninger via Telegram.
Sammenlignet med tidligere versioner anvender denne nye NodeStealer-variant batchfiler til at downloade og udføre Python-scripts, hvilket gør det muligt for den at stjæle legitimationsoplysninger og cookies fra flere browsere og websteder.
