NodeStealer tar sikte på bedriftskontoer på Facebook
I en pågående kampanje blir Facebook Business-kontoer målrettet mot villedende meldinger rettet mot å samle inn ofrenes legitimasjon. Disse meldingene er en del av en kampanje som bruker en variant av den Python-baserte NodeStealer malware, som potensielt lar angripere få kontroll over disse kontoene for påfølgende ondsinnede aktiviteter.
Ifølge Jan Michael, en forsker ved Netskope Threat Labs, rammer angrepene først og fremst ofre i Sør-Europa og Nord-Amerika, og spenner over ulike bransjer, men med et spesielt fokus på produksjonstjenester og teknologisektorer.
NodeStealer, opprinnelig identifisert av Meta i mai 2023, var opprinnelig en JavaScript-basert skadelig programvare designet for å stjele informasjonskapsler og passord fra nettlesere, og kompromittere kontoer på plattformer som Facebook, Gmail og Outlook.
Palo Alto Networks Unit 42 avslørte nylig en egen angrepsbølge som skjedde i desember 2022, som involverte en Python-versjon av NodeStealer, hvorav noen var tilpasset for å lette tyveri av kryptovaluta.
Netskopes siste funn tyder på at de vietnamesiske trusselaktørene som er ansvarlige for disse angrepene sannsynligvis har gjenopptatt sin innsats, og de kan ha tatt i bruk taktikker brukt av andre trusselaktører i samme region med lignende mål.
NodeStealer levert i arkiver over ondsinnede meldinger
Tidligere denne uken avslørte Guardio Labs en relatert taktikk som involverer falske meldinger sendt via Facebook Messenger, som stammer fra et botnett med falske og kompromitterte personlige kontoer. Disse meldingene leverer ZIP- eller RAR-arkivfiler som inneholder NodeStealer-malware til intetanende mottakere.
Den samme metoden fungerer som den første måten å distribuere RAR-filer på Facebooks innholdsleveringsnettverk (CDN). Disse arkivene bruker bilder av defekte produkter som lokkemiddel for å overtale Facebook-bedriftssideeiere eller -administratorer til å laste ned skadelig programvare.
Ved utførelse åpner et batchskript Chrome-nettleseren og omdirigerer offeret til en godartet nettside. Samtidig kjører en PowerShell-kommando i bakgrunnen for å hente ytterligere nyttelast, inkludert Python-tolken og NodeStealer-malware.
NodeStealer malware, i tillegg til å fange opp legitimasjon og informasjonskapsler fra ulike nettlesere, er designet for å samle systemmetadata og overføre denne informasjonen over Telegram.
Sammenlignet med tidligere versjoner, bruker denne nye NodeStealer-varianten batchfiler for å laste ned og kjøre Python-skript, slik at den kan stjele legitimasjon og informasjonskapsler fra flere nettlesere og nettsteder.
