NodeStealer 瞄準 Facebook 上的企業賬戶

在一項正在進行的活動中，Facebook 企業帳戶成為了欺騙性信息的目標，旨在收集受害者的憑據。這些消息是利用基於 Python 的 NodeStealer 惡意軟件變體的活動的一部分，可能使攻擊者能夠控制這些帳戶以進行後續的惡意活動。

Netskope 威脅實驗室研究員 Jan Michael 表示，這些攻擊主要影響南歐和北美的受害者，涉及各個行業，但特別關注製造服務和技術行業。

NodeStealer 最初由 Meta 於 2023 年 5 月發現，最初是一種基於 JavaScript 的惡意軟件，旨在從網絡瀏覽器竊取 cookie 和密碼，從而危及 Facebook、Gmail 和 Outlook 等平台上的帳戶。

Palo Alto Networks Unit 42 最近披露了 2022 年 12 月發生的一波單獨的攻擊波，涉及 Python 版本的 NodeStealer，其中一些攻擊被用來促進加密貨幣盜竊。

Netskope 的最新調查結果表明，對這些攻擊負責的越南威脅行為者可能已經恢復了攻擊，並且他們可能採用了同一地區具有類似目標的其他威脅行為者所使用的策略。

NodeStealer 通過惡意消息在檔案中傳遞

本週早些時候，Guardio Labs 披露了一項相關策略，涉及通過 Facebook Messenger 發送的欺詐消息，這些消息源自虛假和受損的個人賬戶殭屍網絡。這些消息將包含 NodeStealer 惡意軟件的 ZIP 或 RAR 存檔文件傳遞給毫無戒心的收件人。

同樣的方法也是分發託管在 Facebook 內容分發網絡 (CDN) 上的 RAR 文件的初始方法。這些檔案使用有缺陷產品的圖像作為誘餌，說服 Facebook 商業頁面所有者或管理員下載惡意軟件有效負載。

執行後，批處理腳本會打開 Chrome Web 瀏覽器並將受害者重定向到良性網頁。同時，PowerShell 命令在後台運行以檢索其他有效負載，包括 Python 解釋器和 NodeStealer 惡意軟件。

NodeStealer 惡意軟件除了從各種網絡瀏覽器捕獲憑據和 cookie 之外，還旨在收集系統元數據並通過 Telegram 傳輸此信息。

與早期版本相比，這個新的 NodeStealer 變體使用批處理文件下載和執行 Python 腳本，使其能夠從多個瀏覽器和網站竊取憑據和 cookie。