Des comptes professionnels Facebook compromis sont utilisés pour diffuser de fausses publicités utilisant des « photos révélatrices de jeunes femmes » comme leurres pour inciter les victimes à télécharger une version mise à jour d’un malware appelé Voleur de nœuds.
« Cliquer sur des publicités télécharge immédiatement une archive contenant un fichier .exe ‘Photo Album’ malveillant qui supprime également un deuxième exécutable écrit en .NET – cette charge utile est chargée de voler les cookies et les mots de passe du navigateur », Bitdefender dit dans un rapport publié cette semaine.
NodeStealer a été divulgué pour la première fois par Meta en mai 2023 comme un malware JavaScript conçu pour faciliter le rachat de comptes Facebook. Depuis lors, les acteurs malveillants à l’origine de l’opération ont exploité une variante basée sur Python dans leurs attaques.
Le malware fait partie d’un écosystème de cybercriminalité en plein essor au Vietnam, où plusieurs acteurs de la menace exploitent des méthodes qui se chevauchent et qui impliquent principalement la publicité en tant que vecteur sur Facebook pour se propager.
La dernière campagne découverte par la société roumaine de cybersécurité n’est pas différente dans la mesure où des publicités malveillantes sont utilisées comme canal pour compromettre les comptes Facebook des utilisateurs.
« L’outil Ads Manager de Meta est activement exploité dans ces campagnes visant à cibler les utilisateurs masculins de Facebook, âgés de 18 à 65 ans, originaires d’Europe, d’Afrique et des Caraïbes », a déclaré Bitdefender. « Le groupe démographique le plus touché est celui des hommes de 45 ans et plus. »
En plus de distribuer le malware via des fichiers exécutables Windows déguisés en albums photos, les attaques ont élargi leur ciblage pour inclure les utilisateurs réguliers de Facebook. Les exécutables sont hébergés sur légitime.
Le but ultime des attaques est d’exploiter les cookies volés pour contourner les mécanismes de sécurité tels que l’authentification à deux facteurs et modifier les mots de passe, empêchant ainsi les victimes d’accéder à leurs propres comptes.
« Qu’il s’agisse de voler de l’argent ou d’arnaquer de nouvelles victimes via des comptes piratés, ce type d’attaque malveillante permet aux cybercriminels de rester sous le radar en contournant les défenses de sécurité de Meta », ont déclaré les chercheurs.
Plus tôt en août, HUMAN a révélé un autre type d’attaque de piratage de compte baptisé Capra destiné aux plateformes de paris en utilisant des adresses e-mail volées pour déterminer les adresses enregistrées et se connecter aux comptes.
Ce développement intervient alors que Cisco Talos a détaillé plusieurs escroqueries ciblant les utilisateurs de la plate-forme de jeu Roblox avec des liens de phishing visant à capturer les informations d’identification des victimes et à les voler. Robuxune monnaie intégrée à l’application qui peut être utilisée pour acheter des améliorations pour leurs avatars ou acheter des capacités spéciales dans des expériences.
« Les utilisateurs de ‘Roblox’ peuvent être ciblés par des escrocs (appelés ‘beamers’ par les joueurs de ‘Roblox’) qui tentent de voler des objets de valeur ou des Robux à d’autres joueurs », a déclaré le chercheur en sécurité Tiago Pereira. dit.
« Cela peut parfois être facilité pour les escrocs en raison de la jeune base d’utilisateurs de « Roblox ». Près de la moitié des 65 millions d’utilisateurs du jeu ont moins de 13 ans et ne sont peut-être pas aussi doués pour détecter les escroqueries. »
Il suit également celui de CloudSEK Découverte d’une campagne de collecte de données de deux ans menée au Moyen-Orient via un réseau d’environ 3 500 faux domaines liés aux propriétés immobilières de la région dans le but de collecter des informations sur les acheteurs et les vendeurs et de colporter les données sur des forums clandestins.