NodeStealer visa contas empresariais no Facebook
Numa campanha em curso, as contas empresariais do Facebook estão a ser alvo de mensagens enganosas destinadas a recolher as credenciais das vítimas. Essas mensagens fazem parte de uma campanha que utiliza uma variante do malware NodeStealer baseado em Python, permitindo potencialmente que invasores obtenham o controle dessas contas para atividades maliciosas subsequentes.
De acordo com Jan Michael, pesquisador do Netskope Threat Labs, os ataques estão afetando principalmente vítimas no sul da Europa e na América do Norte, abrangendo vários setores, mas com foco particular nos setores de serviços de manufatura e tecnologia.
NodeStealer, inicialmente identificado pela Meta em maio de 2023, era originalmente um malware baseado em JavaScript projetado para roubar cookies e senhas de navegadores da web, comprometendo contas em plataformas como Facebook, Gmail e Outlook.
A Unidade 42 da Palo Alto Networks divulgou recentemente uma onda de ataque separada que ocorreu em dezembro de 2022, envolvendo uma versão Python do NodeStealer, alguns dos quais foram adaptados para facilitar o roubo de criptomoedas.
As últimas descobertas da Netskope sugerem que os actores vietnamitas responsáveis por estes ataques provavelmente retomaram os seus esforços e podem ter adoptado tácticas utilizadas por outros actores ameaçadores na mesma região com objectivos semelhantes.
NodeStealer entregue em arquivos por meio de mensagens maliciosas
No início desta semana, o Guardio Labs revelou uma tática relacionada envolvendo mensagens fraudulentas enviadas via Facebook Messenger, originadas de uma botnet de contas pessoais falsas e comprometidas. Essas mensagens entregam arquivos ZIP ou RAR contendo o malware NodeStealer para destinatários desavisados.
Esse mesmo método serve como meio inicial para distribuir arquivos RAR hospedados na rede de distribuição de conteúdo (CDN) do Facebook. Esses arquivos usam imagens de produtos defeituosos como isca para persuadir os proprietários ou administradores de páginas comerciais do Facebook a baixar a carga do malware.
Após a execução, um script em lote abre o navegador Chrome e redireciona a vítima para uma página web benigna. Simultaneamente, um comando do PowerShell é executado em segundo plano para recuperar cargas adicionais, incluindo o interpretador Python e o malware NodeStealer.
O malware NodeStealer, além de capturar credenciais e cookies de vários navegadores da web, é projetado para coletar metadados do sistema e transmitir essas informações pelo Telegram.
Em comparação com versões anteriores, esta nova variante do NodeStealer emprega arquivos em lote para baixar e executar scripts Python, permitindo roubar credenciais e cookies de vários navegadores e sites.
