Una campagna in corso sta prendendo di mira gli account Facebook Business con messaggi ingannevoli per raccogliere le credenziali delle vittime utilizzando una variante del malware basato su Python chiamato NodeStealer. Questo potrebbe potenzialmente permettere di prendere il controllo dei loro account per attività malevole successive.
Distribuzione geografica e settori colpiti
Le vittime di questi attacchi si trovano principalmente in Europa meridionale e Nord America, interessando diversi segmenti, con una predominanza nei settori dei servizi manifatturieri e della tecnologia. Questo è quanto riferito dal ricercatore di Netskope Threat Labs, Jan Michael, in un’analisi pubblicata giovedì.
Storia di NodeStealer
NodeStealer, documentato per la prima volta da Meta nel maggio 2023, ha avuto origine come malware JavaScript in grado di sottrarre cookie e password dai browser web per compromettere account Facebook, Gmail e Outlook. Solo il mese scorso, Palo Alto Networks Unit 42 ha rivelato un’onda di attacchi avvenuta nel dicembre 2022 utilizzando una versione Python del malware. Alcune di queste iterazioni sono state anche progettate per condurre furti di criptovalute.
Ultimi ritrovamenti su NodeStealer
Le ultime scoperte di Netskope suggeriscono che gli attori della minaccia vietnamita dietro l’operazione hanno probabilmente ripreso i loro sforzi di attacco. Non solo, ma hanno anche adottato tattiche utilizzate da altri avversari che operano fuori dal paese con gli stessi obiettivi. All’inizio di questa settimana, Guardio Labs ha rivelato come messaggi fraudolenti inviati tramite Facebook Messenger da un botnet di account personali falsi e dirottati vengono utilizzati per consegnare file di archivio ZIP o RAR contenenti il malware ai destinatari ignari. Questo stesso modus operandi funge da vettore iniziale per le catene di intrusione di NodeStealer per distribuire file RAR ospitati sulla rete di distribuzione di contenuti di Facebook. “Immagini di prodotti difettosi sono state utilizzate come esca per convincere i proprietari o gli amministratori delle pagine aziendali di Facebook a scaricare il payload del malware”, ha spiegato Michael.
Funzionamento del malware
Questi archivi sono dotati di uno script batch che, quando eseguito, apre il browser web Chrome e indirizza la vittima verso una pagina web benigna. Ma in background, viene eseguito un comando PowerShell per recuperare payload aggiuntivi, tra cui l’interprete Python e il malware NodeStealer. Questo stealer, oltre a catturare credenziali e cookie da vari browser web, è progettato per raccogliere metadati di sistema ed esfiltrare le informazioni tramite Telegram. “Rispetto alle varianti precedenti, la nuova variante di NodeStealer utilizza file batch per scaricare ed eseguire script Python e rubare credenziali e cookie da più browser e per più siti web”, ha dichiarato Michael.
Implicazioni future della campagna
Questa campagna potrebbe rappresentare una porta d’ingresso per un attacco più mirato in futuro, dato che hanno già raccolto informazioni utili. Gli aggressori che hanno rubato cookie e credenziali di Facebook possono utilizzarli per prendere il controllo dell’account e effettuare transazioni fraudolente sfruttando la pagina aziendale legittima.
Cosa è NodeStealer?
NodeStealer è un malware inizialmente basato su JavaScript, progettato per sottrarre cookie e password dai browser web. La sua principale funzione è compromettere account come Facebook, Gmail e Outlook, ma ha subito diverse evoluzioni nel tempo, tra cui una versione Python e varianti progettate per il furto di criptovalute.