A NodeStealer az üzleti fiókokat célozza meg a Facebookon

Egy folyamatban lévő kampány során a Facebook Business fiókokat megtévesztő üzenetekkel célozzák meg, amelyek célja az áldozatok hitelesítő adatainak összegyűjtése. Ezek az üzenetek egy olyan kampány részét képezik, amely a Python-alapú NodeStealer rosszindulatú program egy változatát használja fel, és potenciálisan lehetővé teszi a támadók számára, hogy átvegyék az irányítást ezen fiókok felett a későbbi rosszindulatú tevékenységek miatt.

Jan Michael, a Netskope Threat Labs kutatója szerint a támadások elsősorban Dél-Európában és Észak-Amerikában sújtják az áldozatokat, különböző iparágakban, de különös tekintettel a gyártási szolgáltatásokra és a technológiai szektorokra.

A NodeStealer, amelyet eredetileg a Meta azonosított 2023 májusában, eredetileg egy JavaScript-alapú rosszindulatú program volt, amelyet arra terveztek, hogy cookie-kat és jelszavakat lopjon el a webböngészőkből, feltörve ezzel a fiókokat olyan platformokon, mint a Facebook, a Gmail és az Outlook.

A Palo Alto Networks 42-es egysége a közelmúltban egy külön támadási hullámot hozott nyilvánosságra, amely 2022 decemberében történt, és a NodeStealer Python verzióját érintette, amelyek közül néhányat a kriptovaluta-lopás megkönnyítésére alakítottak át.

A Netskope legfrissebb eredményei arra utalnak, hogy a támadásokért felelős vietnami fenyegetés szereplői valószínűleg folytatták erőfeszítéseiket, és lehet, hogy olyan taktikát alkalmaztak, amelyet ugyanazon régió más fenyegető szereplői használtak hasonló célokkal.

A NodeStealer archívumban jelenik meg rosszindulatú üzenetek felett

A hét elején a Guardio Labs felfedett egy kapcsolódó taktikát, amely a Facebook Messengeren keresztül küldött csalárd üzeneteket tartalmazott, amelyek hamis és feltört személyes fiókok botnetjéből származnak. Ezek az üzenetek a NodeStealer kártevőt tartalmazó ZIP vagy RAR archív fájlokat juttatják el a gyanútlan címzettekhez.

Ugyanez a módszer szolgál a kezdeti eszközként a Facebook tartalomszolgáltató hálózatán (CDN) tárolt RAR-fájlok terjesztésére. Ezek az archívumok a hibás termékek képeit használják csaliként, hogy rávegyék a Facebook üzleti oldalainak tulajdonosait vagy adminisztrátorait a rosszindulatú programok letöltésére.

Végrehajtáskor egy kötegelt szkript megnyitja a Chrome webböngészőt, és átirányítja az áldozatot egy jóindulatú weboldalra. Ezzel egyidejűleg egy PowerShell-parancs fut a háttérben további hasznos terhelések lekéréséhez, beleértve a Python-értelmezést és a NodeStealer rosszindulatú programokat.

A NodeStealer rosszindulatú program a különböző webböngészők hitelesítő adatainak és cookie-jainak rögzítése mellett a rendszer metaadatokat gyűjti, és ezeket az információkat Telegramon keresztül továbbítja.

A korábbi verziókhoz képest ez az új NodeStealer-változat kötegfájlokat használ Python-szkriptek letöltéséhez és végrehajtásához, lehetővé téve a hitelesítő adatok és a cookie-k ellopását több böngészőből és webhelyről.