NodeStealer нацелен на бизнес-аккаунты на Facebook

В рамках продолжающейся кампании бизнес-аккаунты Facebook подвергаются атаке с использованием вводящих в заблуждение сообщений, направленных на сбор учетных данных жертв. Эти сообщения являются частью кампании, использующей вариант вредоносного ПО NodeStealer на основе Python, что потенциально позволяет злоумышленникам получить контроль над этими учетными записями для последующих вредоносных действий.

По словам Яна Майкла, исследователя Netskope Threat Labs, атаки в первую очередь затрагивают жертв в Южной Европе и Северной Америке, охватывая различные отрасли, но с особым акцентом на производственные услуги и технологические сектора.

NodeStealer, первоначально обнаруженный Meta в мае 2023 года, изначально представлял собой вредоносное ПО на основе JavaScript, предназначенное для кражи файлов cookie и паролей из веб-браузеров и компрометации учетных записей на таких платформах, как Facebook, Gmail и Outlook.

Подразделение Palo Alto Networks Unit 42 недавно сообщило об отдельной волне атак, произошедшей в декабре 2022 года с использованием Python-версии NodeStealer, некоторые из которых были адаптированы для облегчения кражи криптовалюты.

Последние данные Netskope позволяют предположить, что вьетнамские злоумышленники, ответственные за эти атаки, вероятно, возобновили свои усилия и, возможно, переняли тактику, используемую другими злоумышленниками в том же регионе с аналогичными целями.

NodeStealer попал в архив из-за вредоносных сообщений

Ранее на этой неделе Guardio Labs раскрыла похожую тактику, связанную с отправкой мошеннических сообщений через Facebook Messenger, исходящих из бот-сети фейковых и скомпрометированных личных учетных записей. Эти сообщения доставляют ничего не подозревающим получателям архивные файлы ZIP или RAR, содержащие вредоносное ПО NodeStealer.

Этот же метод служит исходным средством распространения файлов RAR, размещенных в сети доставки контента (CDN) Facebook. Эти архивы используют изображения дефектных продуктов в качестве приманки, чтобы убедить владельцев или администраторов бизнес-страниц Facebook загрузить вредоносное ПО.

При выполнении пакетный скрипт открывает веб-браузер Chrome и перенаправляет жертву на неопасную веб-страницу. Одновременно в фоновом режиме запускается команда PowerShell для получения дополнительных полезных данных, включая интерпретатор Python и вредоносное ПО NodeStealer.

Вредоносное ПО NodeStealer, помимо захвата учетных данных и файлов cookie из различных веб-браузеров, предназначено для сбора системных метаданных и передачи этой информации через Telegram.

По сравнению с более ранними версиями, этот новый вариант NodeStealer использует пакетные файлы для загрузки и выполнения скриптов Python, что позволяет ему красть учетные данные и файлы cookie из нескольких браузеров и веб-сайтов.