NodeStealer richt zich op zakelijke accounts op Facebook
In een voortdurende campagne worden Facebook Business-accounts belaagd met misleidende berichten gericht op het verzamelen van de inloggegevens van slachtoffers. Deze berichten maken deel uit van een campagne die gebruik maakt van een variant van de op Python gebaseerde NodeStealer-malware, waardoor aanvallers mogelijk controle over deze accounts kunnen krijgen voor daaropvolgende kwaadaardige activiteiten.
Volgens Jan Michael, een onderzoeker bij Netskope Threat Labs, treffen de aanvallen vooral slachtoffers in Zuid-Europa en Noord-Amerika, verspreid over verschillende industrieën, maar met een bijzondere focus op productiediensten en technologiesectoren.
NodeStealer, aanvankelijk geïdentificeerd door Meta in mei 2023, was oorspronkelijk een op JavaScript gebaseerde malware die was ontworpen om cookies en wachtwoorden van webbrowsers te stelen en daarmee accounts op platforms als Facebook, Gmail en Outlook in gevaar te brengen.
Palo Alto Networks Unit 42 heeft onlangs een afzonderlijke aanvalsgolf onthuld die plaatsvond in december 2022, waarbij een Python-versie van NodeStealer betrokken was, waarvan sommige werden aangepast om diefstal van cryptocurrency te vergemakkelijken.
De laatste bevindingen van Netskope suggereren dat de Vietnamese dreigingsactoren die verantwoordelijk zijn voor deze aanvallen waarschijnlijk hun inspanningen hebben hervat en mogelijk tactieken hebben overgenomen die door andere dreigingsactoren in dezelfde regio met vergelijkbare doelstellingen worden gebruikt.
NodeStealer geleverd in archieven vanwege kwaadaardige berichten
Eerder deze week onthulde Guardio Labs een gerelateerde tactiek waarbij frauduleuze berichten werden verzonden via Facebook Messenger, afkomstig van een botnet van valse en gecompromitteerde persoonlijke accounts. Deze berichten leveren ZIP- of RAR-archiefbestanden met de NodeStealer-malware af aan nietsvermoedende ontvangers.
Dezelfde methode dient als de eerste manier om RAR-bestanden te distribueren die worden gehost op het Content Delivery Network (CDN) van Facebook. Deze archieven gebruiken afbeeldingen van defecte producten als lokaas om eigenaren of beheerders van Facebook-bedrijfspagina's te overtuigen de malware-payload te downloaden.
Na uitvoering opent een batchscript de Chrome-webbrowser en stuurt het slachtoffer door naar een goedaardige webpagina. Tegelijkertijd wordt er op de achtergrond een PowerShell-opdracht uitgevoerd om extra payloads op te halen, waaronder de Python-interpreter en de NodeStealer-malware.
De NodeStealer-malware is, naast het vastleggen van inloggegevens en cookies van verschillende webbrowsers, ontworpen om systeemmetagegevens te verzamelen en deze informatie via Telegram te verzenden.
Vergeleken met eerdere versies maakt deze nieuwe NodeStealer-variant gebruik van batchbestanden om Python-scripts te downloaden en uit te voeren, waardoor het inloggegevens en cookies van meerdere browsers en websites kan stelen.