NodeStealer apunta a cuentas comerciales en Facebook

En una campaña en curso, las cuentas de Facebook Business están siendo atacadas con mensajes engañosos destinados a recopilar las credenciales de las víctimas. Estos mensajes son parte de una campaña que utiliza una variante del malware NodeStealer basado en Python, que potencialmente permite a los atacantes obtener el control de estas cuentas para actividades maliciosas posteriores.

Según Jan Michael, investigador de Netskope Threat Labs, los ataques afectan principalmente a víctimas en el sur de Europa y América del Norte, abarcando diversas industrias pero con un enfoque particular en los sectores de tecnología y servicios de fabricación.

NodeStealer, identificado inicialmente por Meta en mayo de 2023, era originalmente un malware basado en JavaScript diseñado para robar cookies y contraseñas de navegadores web, comprometiendo cuentas en plataformas como Facebook, Gmail y Outlook.

La Unidad 42 de Palo Alto Networks reveló recientemente una ola de ataques separada que ocurrió en diciembre de 2022, que involucró una versión Python de NodeStealer, algunos de los cuales fueron adaptados para facilitar el robo de criptomonedas.

Los últimos hallazgos de Netskope sugieren que los actores de amenazas vietnamitas responsables de estos ataques probablemente hayan reanudado sus esfuerzos y pueden haber adoptado tácticas utilizadas por otros actores de amenazas en la misma región con objetivos similares.

NodeStealer entregado en archivos a través de mensajes maliciosos

A principios de esta semana, Guardio Labs reveló una táctica relacionada que involucraba mensajes fraudulentos enviados a través de Facebook Messenger, provenientes de una botnet de cuentas personales falsas y comprometidas. Estos mensajes entregan archivos ZIP o RAR que contienen el malware NodeStealer a destinatarios desprevenidos.

Este mismo método sirve como medio inicial para distribuir archivos RAR alojados en la red de entrega de contenido (CDN) de Facebook. Estos archivos utilizan imágenes de productos defectuosos como cebo para persuadir a los propietarios o administradores de páginas comerciales de Facebook para que descarguen la carga útil del malware.

Tras la ejecución, un script por lotes abre el navegador web Chrome y redirige a la víctima a una página web benigna. Simultáneamente, se ejecuta un comando de PowerShell en segundo plano para recuperar cargas útiles adicionales, incluido el intérprete de Python y el malware NodeStealer.

El malware NodeStealer, además de capturar credenciales y cookies de varios navegadores web, está diseñado para recopilar metadatos del sistema y transmitir esta información a través de Telegram.

En comparación con versiones anteriores, esta nueva variante de NodeStealer emplea archivos por lotes para descargar y ejecutar scripts de Python, lo que le permite robar credenciales y cookies de múltiples navegadores y sitios web.