NodeStealer s'attaque aux comptes professionnels sur Facebook

Dans le cadre d'une campagne en cours, les comptes Facebook Business sont ciblés par des messages trompeurs visant à recueillir les informations d'identification des victimes. Ces messages font partie d'une campagne utilisant une variante du malware NodeStealer basé sur Python, permettant potentiellement aux attaquants de prendre le contrôle de ces comptes pour des activités malveillantes ultérieures.

Selon Jan Michael, chercheur chez Netskope Threat Labs, les attaques touchent principalement les victimes en Europe du Sud et en Amérique du Nord, dans divers secteurs, mais avec un accent particulier sur les services manufacturiers et les secteurs technologiques.

NodeStealer, initialement identifié par Meta en mai 2023, était à l'origine un malware basé sur JavaScript conçu pour voler les cookies et les mots de passe des navigateurs Web, compromettant ainsi les comptes sur des plateformes comme Facebook, Gmail et Outlook.

L'unité 42 de Palo Alto Networks a récemment divulgué une vague d'attaque distincte survenue en décembre 2022, impliquant une version Python de NodeStealer, dont certaines ont été adaptées pour faciliter le vol de crypto-monnaie.

Les dernières conclusions de Netskope suggèrent que les acteurs vietnamiens responsables de ces attaques ont probablement repris leurs efforts et qu'ils ont peut-être adopté des tactiques utilisées par d'autres acteurs malveillants dans la même région avec des objectifs similaires.

NodeStealer livré dans les archives suite à des messages malveillants

Plus tôt cette semaine, Guardio Labs a révélé une tactique similaire impliquant des messages frauduleux envoyés via Facebook Messenger, provenant d'un botnet de comptes personnels faux et compromis. Ces messages transmettent des fichiers d'archive ZIP ou RAR contenant le malware NodeStealer à des destinataires sans méfiance.

Cette même méthode sert de moyen initial pour distribuer les fichiers RAR hébergés sur le réseau de diffusion de contenu (CDN) de Facebook. Ces archives utilisent des images de produits défectueux comme appât pour persuader les propriétaires ou les administrateurs de pages professionnelles Facebook de télécharger la charge utile du malware.

Lors de l'exécution, un script batch ouvre le navigateur Web Chrome et redirige la victime vers une page Web inoffensive. Simultanément, une commande PowerShell s'exécute en arrière-plan pour récupérer des charges utiles supplémentaires, notamment l'interpréteur Python et le malware NodeStealer.

Le malware NodeStealer, en plus de capturer les informations d'identification et les cookies de divers navigateurs Web, est conçu pour collecter des métadonnées système et transmettre ces informations via Telegram.

Par rapport aux versions précédentes, cette nouvelle variante de NodeStealer utilise des fichiers batch pour télécharger et exécuter des scripts Python, ce qui lui permet de voler les informations d'identification et les cookies de plusieurs navigateurs et sites Web.