NodeStealer prende di mira gli account aziendali su Facebook
Nella campagna in corso gli account Facebook Business vengono presi di mira con messaggi ingannevoli volti a raccogliere le credenziali delle vittime. Questi messaggi fanno parte di una campagna che utilizza una variante del malware NodeStealer basato su Python, consentendo potenzialmente agli aggressori di ottenere il controllo di questi account per successive attività dannose.
Secondo Jan Michael, ricercatore presso Netskope Threat Labs, gli attacchi colpiscono principalmente le vittime nell’Europa meridionale e nel Nord America, abbracciando vari settori ma con un’attenzione particolare ai servizi manifatturieri e ai settori tecnologici.
NodeStealer, inizialmente identificato da Meta nel maggio 2023, era originariamente un malware basato su JavaScript progettato per rubare cookie e password dai browser Web, compromettendo account su piattaforme come Facebook, Gmail e Outlook.
L'Unità 42 di Palo Alto Networks ha recentemente rivelato un'ondata di attacchi separata avvenuta nel dicembre 2022, che ha coinvolto una versione Python di NodeStealer, alcune delle quali sono state adattate per facilitare il furto di criptovaluta.
Le ultime scoperte di Netskope suggeriscono che gli autori delle minacce vietnamiti responsabili di questi attacchi hanno probabilmente ripreso i loro sforzi e potrebbero aver adottato tattiche utilizzate da altri autori delle minacce nella stessa regione con obiettivi simili.
NodeStealer consegnato negli archivi su messaggi dannosi
All'inizio di questa settimana, Guardio Labs ha rivelato una tattica correlata che coinvolge messaggi fraudolenti inviati tramite Facebook Messenger, provenienti da una botnet di account personali falsi e compromessi. Questi messaggi consegnano file di archivio ZIP o RAR contenenti il malware NodeStealer a destinatari ignari.
Questo stesso metodo funge da mezzo iniziale per distribuire i file RAR ospitati sulla rete di distribuzione dei contenuti (CDN) di Facebook. Questi archivi utilizzano immagini di prodotti difettosi come esca per convincere i proprietari o gli amministratori delle pagine aziendali di Facebook a scaricare il payload del malware.
Al momento dell'esecuzione, uno script batch apre il browser Web Chrome e reindirizza la vittima a una pagina Web innocua. Contemporaneamente, un comando PowerShell viene eseguito in background per recuperare ulteriori payload, tra cui l'interprete Python e il malware NodeStealer.
Il malware NodeStealer, oltre a catturare credenziali e cookie da vari browser Web, è progettato per raccogliere metadati di sistema e trasmettere queste informazioni su Telegram.
Rispetto alle versioni precedenti, questa nuova variante di NodeStealer utilizza file batch per scaricare ed eseguire script Python, consentendogli di rubare credenziali e cookie da più browser e siti Web.
