Una campaña en curso está dirigida a las cuentas comerciales de Facebook con mensajes falsos para recopilar las credenciales de las víctimas utilizando una variante del sistema basado en Python. Ladrón de nodos y potencialmente hacerse cargo de sus cuentas para realizar actividades maliciosas posteriores.
«Los ataques están alcanzando víctimas principalmente en el sur de Europa y América del Norte en diferentes segmentos, liderados por los sectores de tecnología y servicios de fabricación», dijo el investigador de Netskope Threat Labs, Jan Michael. dicho en un análisis publicado el jueves.
Documentado por primera vez por Meta en mayo de 2023, NodeStealer se originó como un malware de JavaScript capaz de robar cookies y contraseñas de navegadores web para comprometer cuentas de Facebook, Gmail y Outlook.
La Unidad 42 de Palo Alto Networks, el mes pasado, reveló una ola de ataques separada que tuvo lugar en diciembre de 2022 utilizando una versión Python del malware, con iteraciones seleccionadas también diseñadas para llevar a cabo el robo de criptomonedas.
Los últimos hallazgos de Netskope sugieren que los actores de amenazas vietnamitas detrás de la operación probablemente hayan reanudado sus esfuerzos de ataque, sin mencionar la adopción de tácticas utilizadas por otros adversarios que operan fuera del país con los mismos objetivos.
A principios de esta semana, Guardio Labs reveló cómo los mensajes fraudulentos enviados a través de Facebook Messenger desde una botnet de cuentas personales falsas y secuestradas se están aprovechando para entregar archivos ZIP o RAR para entregar el malware ladrón a destinatarios desprevenidos.
El mismo modus operandi actúa como vector inicial para que las cadenas de intrusión de NodeStealer distribuyan archivos RAR alojados en la red de entrega de contenido (CDN) de Facebook.
«Se utilizaron imágenes de productos defectuosos como cebo para convencer a los propietarios o administradores de páginas comerciales de Facebook de que descargaran la carga útil del malware», explicó Michael.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
Estos archivos vienen equipados con un script por lotes que, cuando se ejecuta, abre el navegador web Chrome y lleva a la víctima a una página web benigna. Pero en segundo plano, se ejecuta un comando de PowerShell para recuperar cargas útiles adicionales, incluido el intérprete de Python y el malware NodeStealer.
El ladrón, además de capturar credenciales y cookies (independientemente de si son de Facebook o no) de varios navegadores web, está diseñado para recopilar metadatos del sistema y filtrar la información a través de Telegram.
«En comparación con variantes anteriores, la nueva variante NodeStealer utiliza archivos por lotes para descargar y ejecutar scripts de Python, y robar credenciales y cookies de múltiples navegadores y para múltiples sitios web», dijo Michael.
«Esta campaña podría ser una puerta de entrada a un ataque más dirigido más adelante, ya que ya han recopilado información útil. Los atacantes que han robado cookies y credenciales de Facebook pueden utilizarlas para hacerse cargo de la cuenta y realizar transacciones fraudulentas aprovechando la página comercial legítima».