„NodeStealer“ siekia verslo paskyrų „Facebook“.
Vykdomoje kampanijoje „Facebook Business“ paskyrose siunčiamos apgaulingos žinutės, kuriomis siekiama surinkti aukų kredencialus. Šie pranešimai yra kampanijos, kurioje naudojamas „Python“ pagrindu veikiančios „NodeStealer“ kenkėjiškos programos variantas, dalis, leidžianti užpuolikams valdyti šias paskyras dėl vėlesnės kenkėjiškos veiklos.
Pasak „Netskope Threat Labs“ tyrėjo Jano Michaelo, išpuoliai pirmiausia paveikia Pietų Europos ir Šiaurės Amerikos aukas, apimančias įvairias pramonės šakas, tačiau ypatingą dėmesį skiriant gamybos paslaugoms ir technologijų sektoriams.
„NodeStealer“, kurią „Meta“ identifikavo 2023 m. gegužės mėn., iš pradžių buvo „JavaScript“ pagrindu sukurta kenkėjiška programa, skirta pavogti slapukus ir slaptažodžius iš žiniatinklio naršyklių, pažeidžiant paskyras tokiose platformose kaip „Facebook“, „Gmail“ ir „Outlook“.
„Palo Alto Networks Unit 42“ neseniai atskleidė atskirą atakos bangą, įvykusią 2022 m. gruodžio mėn., apimančią „NodeStealer“ Python versiją, kai kurios iš jų buvo pritaikytos kriptovaliutų vagystėms palengvinti.
Naujausios „Netskope“ išvados rodo, kad Vietnamo grėsmės veikėjai, atsakingi už šias atakas, greičiausiai atnaujino savo pastangas ir galėjo pasirinkti taktiką, kurią taikė kiti grėsmės veikėjai tame pačiame regione, turintys panašių tikslų.
„NodeStealer“ pristatomas archyvuose per kenkėjiškas žinutes
Anksčiau šią savaitę „Guardio Labs“ atskleidė susijusią taktiką, susijusią su apgaulingomis žinutėmis, siunčiamomis per „Facebook Messenger“, kurios kilo iš netikrų ir pažeistų asmeninių paskyrų tinklo. Šie pranešimai nieko neįtariantiems gavėjams pateikia ZIP arba RAR archyvo failus, kuriuose yra kenkėjiška programa „NodeStealer“.
Tas pats metodas naudojamas kaip pradinė priemonė platinti RAR failus, esančius „Facebook“ turinio pristatymo tinkle (CDN). Šiuose archyvuose kaip masalas naudojami sugedusių gaminių vaizdai, siekiant įtikinti „Facebook“ verslo puslapių savininkus ar administratorius atsisiųsti kenkėjiškų programų naudingąją apkrovą.
Vykdomas paketinis scenarijus atidaro „Chrome“ žiniatinklio naršyklę ir nukreipia auką į nekenksmingą tinklalapį. Tuo pačiu metu „PowerShell“ komanda paleidžiama fone, kad būtų galima nuskaityti papildomus naudingus krovinius, įskaitant „Python“ interpretatorių ir „NodeStealer“ kenkėjišką programą.
„NodeStealer“ kenkėjiška programa, be kredencialų ir slapukų fiksavimo iš įvairių interneto naršyklių, yra skirta rinkti sistemos metaduomenis ir perduoti šią informaciją per „Telegram“.
Palyginti su ankstesnėmis versijomis, šiame naujame „NodeStealer“ variante naudojami paketiniai failai Python scenarijų atsisiuntimui ir vykdymui, leidžiantys pavogti kredencialus ir slapukus iš kelių naršyklių ir svetainių.