NodeStealer 瞄准 Facebook 上的企业帐户
在一项正在进行的活动中,Facebook 企业帐户成为了欺骗性信息的目标,旨在收集受害者的凭据。这些消息是利用基于 Python 的 NodeStealer 恶意软件变体的活动的一部分,可能使攻击者能够控制这些帐户以进行后续的恶意活动。
Netskope 威胁实验室研究员 Jan Michael 表示,这些攻击主要影响南欧和北美的受害者,涉及各个行业,但特别关注制造服务和技术行业。
NodeStealer 最初由 Meta 于 2023 年 5 月发现,最初是一种基于 JavaScript 的恶意软件,旨在从网络浏览器窃取 cookie 和密码,从而危及 Facebook、Gmail 和 Outlook 等平台上的帐户。
Palo Alto Networks Unit 42 最近披露了 2022 年 12 月发生的一波单独的攻击波,涉及 Python 版本的 NodeStealer,其中一些攻击被用来促进加密货币盗窃。
Netskope 的最新调查结果表明,对这些攻击负责的越南威胁行为者可能已经恢复了攻击,并且他们可能采用了同一地区具有类似目标的其他威胁行为者所使用的策略。
NodeStealer 通过恶意消息在档案中传递
本周早些时候,Guardio Labs 披露了一项相关策略,涉及通过 Facebook Messenger 发送的欺诈消息,这些消息源自虚假和受损的个人账户僵尸网络。这些消息将包含 NodeStealer 恶意软件的 ZIP 或 RAR 存档文件传递给毫无戒心的收件人。
同样的方法也是分发托管在 Facebook 内容分发网络 (CDN) 上的 RAR 文件的初始方法。这些档案使用有缺陷产品的图像作为诱饵,说服 Facebook 商业页面所有者或管理员下载恶意软件有效负载。
执行后,批处理脚本会打开 Chrome Web 浏览器并将受害者重定向到良性网页。同时,PowerShell 命令在后台运行以检索其他有效负载,包括 Python 解释器和 NodeStealer 恶意软件。
NodeStealer 恶意软件除了从各种网络浏览器捕获凭据和 cookie 之外,还旨在收集系统元数据并通过 Telegram 传输此信息。
与早期版本相比,这个新的 NodeStealer 变体使用批处理文件下载和执行 Python 脚本,使其能够从多个浏览器和网站窃取凭据和 cookie。