NodeStealer tar sikte på företagskonton på Facebook
I en pågående kampanj riktas Facebook Business-konton mot vilseledande meddelanden som syftar till att samla in offrens referenser. Dessa meddelanden är en del av en kampanj som använder en variant av den Python-baserade skadliga programvaran NodeStealer, vilket potentiellt tillåter angripare att få kontroll över dessa konton för efterföljande skadliga aktiviteter.
Enligt Jan Michael, en forskare vid Netskope Threat Labs, drabbar attackerna främst offer i södra Europa och Nordamerika, som spänner över olika industrier men med särskilt fokus på tillverkningstjänster och tekniksektorer.
NodeStealer, som ursprungligen identifierades av Meta i maj 2023, var ursprungligen en JavaScript-baserad skadlig programvara designad för att stjäla cookies och lösenord från webbläsare och äventyra konton på plattformar som Facebook, Gmail och Outlook.
Palo Alto Networks Unit 42 avslöjade nyligen en separat attackvåg som inträffade i december 2022, som involverade en Python-version av NodeStealer, av vilka några var anpassade för att underlätta stöld av kryptovalutor.
Netskopes senaste fynd tyder på att de vietnamesiska hotaktörerna som är ansvariga för dessa attacker sannolikt har återupptagit sina ansträngningar, och de kan ha antagit taktik som används av andra hotaktörer i samma region med liknande mål.
NodeStealer levereras i arkiv över skadliga meddelanden
Tidigare i veckan avslöjade Guardio Labs en relaterad taktik som involverade bedrägliga meddelanden skickade via Facebook Messenger, som härrörde från ett botnät med falska och komprometterade personliga konton. Dessa meddelanden levererar ZIP- eller RAR-arkivfiler som innehåller skadlig programvara NodeStealer till intet ont anande mottagare.
Samma metod fungerar som det första sättet att distribuera RAR-filer som finns på Facebooks innehållsleveransnätverk (CDN). Dessa arkiv använder bilder av defekta produkter som lockbete för att övertyga Facebooks företagssidaägare eller administratörer att ladda ner skadlig programvara.
Vid körning öppnar ett batchskript webbläsaren Chrome och omdirigerar offret till en godartad webbsida. Samtidigt körs ett PowerShell-kommando i bakgrunden för att hämta ytterligare nyttolaster, inklusive Python-tolken och NodeStealer malware.
Den skadliga programvaran NodeStealer, förutom att fånga inloggningsuppgifter och cookies från olika webbläsare, är utformad för att samla in systemmetadata och överföra denna information via Telegram.
Jämfört med tidigare versioner använder den här nya NodeStealer-varianten batchfiler för att ladda ner och köra Python-skript, vilket gör att den kan stjäla referenser och cookies från flera webbläsare och webbplatser.