Una nuova variante di malware, identificata come NodeStealer, sta attaccando gli account aziendali di Facebook per rubare le loro criptovalute. La minaccia è stata rivelata in un nuovo rapporto da Unit 42, il braccio di cybersecurity di Palo Alto Networks.
Dettagli su NodeStealer
NodeStealer è una variante Python del malware originariamente scritto in JavaScript. Gli hacker utilizzavano Facebook per contattare le persone, offrendo finti modelli “professionali” di Microsoft Excel e Google Sheets per il monitoraggio del budget. Poiché gli attacchi erano diretti agli account aziendali, gli aggressori cercavano di attirare le persone offrendo strumenti e assistenza legati al business.
Modalità di attacco
I “modelli” erano ospitati su Google Drive, all’interno di un archivio ZIP. L’archivio conteneva l’eseguibile NodeStealer, in grado di distribuire malware aggiuntivi come BitRAT e XWorm, disabilitare l’antivirus Microsoft Defender e rubare criptovalute attraverso l’addon del browser MetaMask.
Campagna dannosa
La campagna dannosa è iniziata a dicembre 2022, e i ricercatori ritengono improbabile che sia ancora in corso. NodeStealer è stato individuato per la prima volta nel maggio 2023 da Meta, che lo ha descritto come uno strumento che cattura cookie e password memorizzati nei browser, compromettendo non solo gli account Facebook, ma anche Gmail e Outlook.
Impatto e rischi
“NodeStealer rappresenta un grande rischio sia per gli individui che per le organizzazioni”, ha dichiarato il ricercatore di Unit 42, Lior Rochberger. Oltre all’impatto diretto sugli account aziendali di Facebook, principalmente finanziario, il malware ruba anche le credenziali dai browser, che possono essere utilizzate per ulteriori attacchi.