Το NodeStealer στοχεύει σε επιχειρηματικούς λογαριασμούς στο Facebook

Σε μια συνεχιζόμενη εκστρατεία, οι λογαριασμοί Facebook Business στοχοποιούνται με παραπλανητικά μηνύματα που στοχεύουν στη συλλογή των διαπιστευτηρίων των θυμάτων. Αυτά τα μηνύματα αποτελούν μέρος μιας καμπάνιας που χρησιμοποιεί μια παραλλαγή του κακόβουλου λογισμικού NodeStealer που βασίζεται στην Python, επιτρέποντας δυνητικά στους εισβολείς να αποκτήσουν τον έλεγχο αυτών των λογαριασμών για επακόλουθες κακόβουλες δραστηριότητες.

Σύμφωνα με τον Jan Michael, ερευνητή στο Netskope Threat Labs, οι επιθέσεις επηρεάζουν κυρίως θύματα στη Νότια Ευρώπη και τη Βόρεια Αμερική, καλύπτοντας διάφορες βιομηχανίες, αλλά με ιδιαίτερη έμφαση στους τομείς των υπηρεσιών παραγωγής και της τεχνολογίας.

Το NodeStealer, που αρχικά αναγνωρίστηκε από τη Meta τον Μάιο του 2023, ήταν αρχικά ένα κακόβουλο λογισμικό βασισμένο σε JavaScript, σχεδιασμένο για να κλέβει cookies και κωδικούς πρόσβασης από προγράμματα περιήγησης ιστού, διακυβεύοντας λογαριασμούς σε πλατφόρμες όπως το Facebook, το Gmail και το Outlook.

Το Palo Alto Networks Unit 42 αποκάλυψε πρόσφατα ένα ξεχωριστό κύμα επίθεσης που συνέβη τον Δεκέμβριο του 2022, το οποίο αφορούσε μια έκδοση Python του NodeStealer, μερικά από τα οποία προσαρμόστηκαν για να διευκολύνουν την κλοπή κρυπτονομισμάτων.

Τα τελευταία ευρήματα της Netskope υποδηλώνουν ότι οι βιετναμέζοι παράγοντες απειλών που είναι υπεύθυνοι για αυτές τις επιθέσεις πιθανότατα έχουν ξαναρχίσει τις προσπάθειές τους και μπορεί να έχουν υιοθετήσει τακτικές που χρησιμοποιούνται από άλλους παράγοντες απειλών στην ίδια περιοχή με παρόμοιους στόχους.

Το NodeStealer παραδίδεται στα αρχεία μέσω κακόβουλων μηνυμάτων

Νωρίτερα αυτή την εβδομάδα, τα εργαστήρια Guardio αποκάλυψαν μια σχετική τακτική που περιλαμβάνει δόλια μηνύματα που αποστέλλονται μέσω του Facebook Messenger, που προέρχονται από ένα botnet ψεύτικων και παραβιασμένων προσωπικών λογαριασμών. Αυτά τα μηνύματα παραδίδουν αρχεία αρχείου ZIP ή RAR που περιέχουν το κακόβουλο λογισμικό NodeStealer σε ανυποψίαστους παραλήπτες.

Αυτή η ίδια μέθοδος χρησιμεύει ως το αρχικό μέσο για τη διανομή αρχείων RAR που φιλοξενούνται στο δίκτυο παράδοσης περιεχομένου του Facebook (CDN). Αυτά τα αρχεία χρησιμοποιούν εικόνες ελαττωματικών προϊόντων ως δόλωμα για να πείσουν τους ιδιοκτήτες ή τους διαχειριστές των επιχειρηματικών σελίδων στο Facebook να κατεβάσουν το ωφέλιμο φορτίο κακόβουλου λογισμικού.

Κατά την εκτέλεση, ένα σενάριο δέσμης ανοίγει το πρόγραμμα περιήγησης ιστού Chrome και ανακατευθύνει το θύμα σε μια καλοήθη ιστοσελίδα. Ταυτόχρονα, μια εντολή PowerShell εκτελείται στο παρασκήνιο για την ανάκτηση πρόσθετων ωφέλιμων φορτίων, συμπεριλαμβανομένου του διερμηνέα Python και του κακόβουλου λογισμικού NodeStealer.

Το κακόβουλο λογισμικό NodeStealer, εκτός από την καταγραφή διαπιστευτηρίων και cookies από διάφορα προγράμματα περιήγησης ιστού, έχει σχεδιαστεί για τη συλλογή μεταδεδομένων συστήματος και τη μετάδοση αυτών των πληροφοριών μέσω του Telegram.

Σε σύγκριση με προηγούμενες εκδόσεις, αυτή η νέα παραλλαγή του NodeStealer χρησιμοποιεί ομαδικά αρχεία για τη λήψη και εκτέλεση σεναρίων Python, επιτρέποντάς του να κλέβει διαπιστευτήρια και cookies από πολλά προγράμματα περιήγησης και ιστότοπους.