NodeStealer nimmt Geschäftskonten auf Facebook ins Visier
In einer laufenden Kampagne werden Facebook-Business-Konten mit betrügerischen Nachrichten angegriffen, die darauf abzielen, die Anmeldedaten der Opfer zu sammeln. Diese Nachrichten sind Teil einer Kampagne, die eine Variante der Python-basierten NodeStealer-Malware nutzt und es Angreifern möglicherweise ermöglicht, die Kontrolle über diese Konten für nachfolgende böswillige Aktivitäten zu erlangen.
Laut Jan Michael, einem Forscher bei Netskope Threat Labs, betreffen die Angriffe vor allem Opfer in Südeuropa und Nordamerika, in verschiedenen Branchen, mit besonderem Schwerpunkt auf Fertigungsdienstleistungen und Technologiesektoren.
NodeStealer, erstmals im Mai 2023 von Meta identifiziert, war ursprünglich eine JavaScript-basierte Malware, die darauf abzielte, Cookies und Passwörter aus Webbrowsern zu stehlen und so Konten auf Plattformen wie Facebook, Gmail und Outlook zu kompromittieren.
Palo Alto Networks Unit 42 hat kürzlich eine separate Angriffswelle bekannt gegeben, die im Dezember 2022 stattfand und eine Python-Version von NodeStealer betraf, von denen einige angepasst wurden, um den Diebstahl von Kryptowährungen zu erleichtern.
Die neuesten Erkenntnisse von Netskope deuten darauf hin, dass die für diese Angriffe verantwortlichen vietnamesischen Bedrohungsakteure ihre Bemühungen wahrscheinlich wieder aufgenommen haben und möglicherweise Taktiken übernommen haben, die von anderen Bedrohungsakteuren in derselben Region mit ähnlichen Zielen angewendet werden.
NodeStealer wegen bösartiger Nachrichten in Archiven ausgeliefert
Anfang dieser Woche enthüllte Guardio Labs eine ähnliche Taktik, bei der es um betrügerische Nachrichten ging, die über den Facebook Messenger versendet wurden und von einem Botnetz gefälschter und manipulierter persönlicher Konten stammten. Diese Nachrichten übermitteln ZIP- oder RAR-Archivdateien, die die NodeStealer-Malware enthalten, an ahnungslose Empfänger.
Dieselbe Methode dient als erstes Mittel zur Verbreitung von RAR-Dateien, die im Content Delivery Network (CDN) von Facebook gehostet werden. Diese Archive verwenden Bilder fehlerhafter Produkte als Köder, um Inhaber oder Administratoren von Facebook-Unternehmensseiten zum Herunterladen der Malware-Payload zu bewegen.
Bei der Ausführung öffnet ein Batch-Skript den Chrome-Webbrowser und leitet das Opfer auf eine harmlose Webseite weiter. Gleichzeitig wird im Hintergrund ein PowerShell-Befehl ausgeführt, um zusätzliche Payloads abzurufen, darunter den Python-Interpreter und die NodeStealer-Malware.
Die NodeStealer-Malware erfasst neben Anmeldeinformationen und Cookies verschiedener Webbrowser auch Systemmetadaten und überträgt diese Informationen über Telegram.
Im Vergleich zu früheren Versionen verwendet diese neue NodeStealer-Variante Batchdateien zum Herunterladen und Ausführen von Python-Skripten und ermöglicht so das Stehlen von Anmeldeinformationen und Cookies von mehreren Browsern und Websites.