NodeStealer celuje w konta firmowe na Facebooku
W ramach trwającej kampanii konta firmowe na Facebooku są celem ataków zwodniczych wiadomości mających na celu zebranie danych uwierzytelniających ofiar. Wiadomości te stanowią część kampanii wykorzystującej wariant szkodliwego oprogramowania NodeStealer opartego na języku Python i potencjalnie umożliwiają atakującym przejęcie kontroli nad kontami w celu późniejszych szkodliwych działań.
Według Jana Michaela, badacza w Netskope Threat Labs, ataki dotykają głównie ofiary w Europie Południowej i Ameryce Północnej i obejmują różne branże, ale ze szczególnym naciskiem na usługi produkcyjne i sektory technologiczne.
NodeStealer, pierwotnie zidentyfikowany przez Meta w maju 2023 r., był pierwotnie złośliwym oprogramowaniem opartym na JavaScript, zaprojektowanym do kradzieży plików cookie i haseł z przeglądarek internetowych, w ten sposób naruszając konta na platformach takich jak Facebook, Gmail i Outlook.
Jednostka 42 Palo Alto Networks ujawniła niedawno odrębną falę ataków, która miała miejsce w grudniu 2022 r. i obejmowała wersję NodeStealer w języku Python, a niektóre z nich zostały przystosowane w celu ułatwienia kradzieży kryptowalut.
Najnowsze ustalenia Netskope sugerują, że wietnamscy ugrupowania zagrażające odpowiedzialne za te ataki prawdopodobnie wznowiły swoje wysiłki i mogły przyjąć taktykę stosowaną przez inne ugrupowania zagrażające w tym samym regionie, mające podobne cele.
NodeStealer dostarczany do archiwów w związku ze złośliwymi wiadomościami
Na początku tego tygodnia Guardio Labs ujawniło powiązaną taktykę polegającą na fałszywych wiadomościach wysyłanych za pośrednictwem Facebook Messenger i pochodzących z botnetu składającego się z fałszywych i zainfekowanych kont osobistych. Wiadomości te dostarczają niczego niepodejrzewającym odbiorcom pliki archiwów ZIP lub RAR zawierające złośliwe oprogramowanie NodeStealer.
Ta sama metoda służy jako początkowy sposób dystrybucji plików RAR hostowanych w sieci dostarczania treści (CDN) Facebooka. Archiwa te wykorzystują obrazy wadliwych produktów jako przynętę, aby przekonać właścicieli lub administratorów stron firmowych na Facebooku do pobrania szkodliwego oprogramowania.
Po wykonaniu skrypt wsadowy otwiera przeglądarkę Chrome i przekierowuje ofiarę na nieszkodliwą stronę internetową. Jednocześnie w tle działa polecenie programu PowerShell w celu pobrania dodatkowych ładunków, w tym interpretera języka Python i złośliwego oprogramowania NodeStealer.
Szkodnik NodeStealer oprócz przechwytywania danych uwierzytelniających i plików cookie z różnych przeglądarek internetowych ma na celu zbieranie metadanych systemowych i przesyłanie tych informacji za pośrednictwem Telegramu.
W porównaniu do wcześniejszych wersji, ten nowy wariant NodeStealera wykorzystuje pliki wsadowe do pobierania i wykonywania skryptów w języku Python, umożliwiając mu kradzież danych uwierzytelniających i plików cookie z wielu przeglądarek i witryn internetowych.