Une campagne en cours cible les comptes Facebook Business avec de faux messages afin de récolter les informations d’identification des victimes à l’aide d’une variante du système basé sur Python. Voleur de nœuds et potentiellement reprendre leurs comptes pour des activités malveillantes ultérieures.
“Les attaques touchent des victimes principalement dans le sud de l’Europe et en Amérique du Nord, dans différents segments, menés par les secteurs des services manufacturiers et de la technologie”, a déclaré Jan Michael, chercheur à Netskope Threat Labs. dit dans une analyse publiée jeudi.
Documenté pour la première fois par Meta en mai 2023, NodeStealer est à l’origine un malware JavaScript capable de voler les cookies et les mots de passe des navigateurs Web pour compromettre les comptes Facebook, Gmail et Outlook.
L’unité 42 de Palo Alto Networks a révélé le mois dernier une vague d’attaque distincte qui a eu lieu en décembre 2022 à l’aide d’une version Python du logiciel malveillant, avec des itérations sélectionnées également conçues pour effectuer le vol de crypto-monnaie.
Les dernières conclusions de Netskope suggèrent que les acteurs vietnamiens derrière l’opération ont probablement repris leurs efforts d’attaque, sans parler d’adopter des tactiques utilisées par d’autres adversaires opérant hors du pays avec les mêmes objectifs.
Un peu plus tôt cette semaine, Guardio Labs a révélé comment des messages frauduleux envoyés via Facebook Messenger à partir d’un botnet de comptes personnels faux et piratés étaient exploités pour transmettre des fichiers d’archive ZIP ou RAR afin de transmettre le malware voleur à des destinataires sans méfiance.
Le même mode opératoire sert de vecteur initial aux chaînes d’intrusion NodeStealer pour distribuer les fichiers RAR hébergés sur le réseau de diffusion de contenu (CDN) de Facebook.
“Des images de produits défectueux ont été utilisées comme appât pour convaincre les propriétaires ou les administrateurs des pages professionnelles de Facebook de télécharger la charge utile du malware”, a expliqué Michael.
L’identité est le nouveau point de terminaison : maîtriser la sécurité SaaS à l’ère moderne
Plongez dans l’avenir de la sécurité SaaS avec Maor Bin, PDG d’Adaptive Shield. Découvrez pourquoi l’identité est le nouveau point final. Réservez votre place maintenant.
Ces archives sont équipées d’un script batch qui, une fois exécuté, ouvre le navigateur Web Chrome et amène la victime vers une page Web inoffensive. Mais en arrière-plan, une commande PowerShell est exécutée pour récupérer des charges utiles supplémentaires, notamment l’interpréteur Python et le malware NodeStealer.
Le voleur, en plus de capturer des informations d’identification et des cookies – qu’ils proviennent ou non de Facebook – à partir de divers navigateurs Web, est conçu pour collecter des métadonnées du système et exfiltrer les informations via Telegram.
“Par rapport aux variantes précédentes, la nouvelle variante NodeStealer utilise des fichiers batch pour télécharger et exécuter des scripts Python, et voler les informations d’identification et les cookies de plusieurs navigateurs et de plusieurs sites Web”, a déclaré Michael.
“Cette campagne pourrait être une porte d’entrée vers une attaque plus ciblée ultérieurement puisqu’ils ont déjà collecté des informations utiles. Les attaquants qui ont volé les cookies et les informations d’identification de Facebook peuvent les utiliser pour prendre le contrôle du compte et effectuer des transactions frauduleuses en exploitant la page commerciale légitime.”