Caçadores de ameaças estão alertando sobre uma versão atualizada do NodeStealer baseado em Python, que agora está equipada para extrair mais informações das contas do Facebook Ads Manager das vítimas e colher dados de cartões de crédito armazenados nos navegadores web.
"Eles coletam detalhes do orçamento das contas Facebook Ads Manager de suas vítimas, o que pode ser uma porta de entrada para malvertisement no Facebook," disse o pesquisador da Netskope Threat Labs, Jan Michael Alcantara, em um relatório compartilhado.
Novas técnicas usadas pelo NodeStealer incluem usar o Windows Restart Manager para desbloquear arquivos de banco de dados do navegador, adicionar código inútil e usar um script batch para gerar e executar dinamicamente o script Python.
NodeStealer, documentado publicamente pela primeira vez pela Meta em maio de 2023, começou como malware em JavaScript antes de evoluir para um Python stealer capaz de coletar dados relacionados a contas do Facebook a fim de facilitar a tomada de controle delas.
Avalia-se que ele foi desenvolvido por atores de ameaças vietnamitas, que têm um histórico de aproveitamento de várias famílias de malware centradas em sequestrar contas de publicidade e negócios do Facebook para alimentar outras atividades maliciosas.
A análise mais recente da Netskope mostra que os artefatos do NodeStealer começaram a mirar contas do Facebook Ads Manager que são usadas para gerenciar campanhas publicitárias no Facebook e no Instagram, além de atacar contas do Facebook Business.
Ao fazer isso, suspeita-se que a intenção dos atacantes não seja apenas assumir o controle das contas do Facebook, mas também armá-las para uso em campanhas de malvertising que propagam ainda mais o malware sob o disfarce de software ou jogos populares.
"Recentemente encontramos vários samples do Python NodeStealer que coletam detalhes do orçamento da conta usando o Facebook Graph API," explicou Michael Alcantara.
Os samples inicialmente geram um token de acesso ao se logar em adsmanager.facebook[.]com usando cookies coletados na máquina da vítima.
Além de coletar os tokens e informações relacionadas ao negócio vinculadas a essas contas, o malware inclui uma verificação projetada explicitamente para evitar infectar máquinas localizadas no Vietnã como forma de evadir ações de aplicação da lei, solidificando ainda mais suas origens.
Além disso, certos samples do NodeStealer foram encontrados usando o legítimo Windows Restart Manager para desbloquear arquivos de banco de dados SQLite que possivelmente estão sendo usados por outros processos.
Isso é feito na tentativa de sifonar dados de cartões de crédito de vários navegadores web.
A exfiltração de dados é realizada usando o Telegram, sublinhando que a plataforma de mensagens ainda continua sendo um vetor crucial para os criminosos cibernéticos, apesar das recentes mudanças em sua política.
Malvertising via Facebook é uma via de infecção lucrativa, muitas vezes se passando por marcas confiáveis para disseminar todos os tipos de malware.
Isso é evidenciado pelo surgimento de uma nova campanha a partir de 3 de novembro de 2024, que imitou o software gerenciador de senhas Bitwarden através de anúncios patrocinados no Facebook para instalar uma extensão maliciosa do Google Chrome.
"O malware coleta dados pessoais e tem como alvo contas empresariais do Facebook, potencialmente levando a perdas financeiras para indivíduos e empresas," disse a Bitdefender em um relatório publicado na segunda-feira(18).
Mais uma vez, esta campanha destaca como os atores de ameaças exploram plataformas confiáveis como o Facebook para atrair usuários a comprometerem sua própria segurança.
O desenvolvimento ocorre à medida que a Cofense alertou para novas campanhas de phishing que empregam formulários de contato de sites e iscas temáticas de faturas para entregar famílias de malware como I2Parcae RAT e PythonRatLoader, respectivamente, com este último atuando como um canal para implantar AsyncRAT, DCRat, e Venom RAT.
I2Parcae é "notável por ter várias táticas, técnicas e procedimentos (TTPs) únicos, como evasão de Secure Email Gateway (SEG) ao usar proxy de emails por meio de infraestrutura legítima, CAPTCHAs falsos, abusando de funcionalidades incorporadas do Windows para esconder arquivos baixados e capacidades de C2 sobre Invisible Internet Project (I2P), uma rede anônima peer-to-peer com criptografia ponta-a-ponta," disse o pesquisador da Cofense, Kahng An.
Quando infectado, o I2Parcae é capaz de desativar o Windows Defender, enumerar o Windows Security Accounts Manager (SAM) para contas/grupos, roubar cookies do navegador e acesso remoto a hosts infectados.
As cadeias de ataque envolvem a propagação de links pornográficos armadilhados em mensagens de e-mail que, ao clicarem, levam os destinatários da mensagem a uma página intermediária falsa de verificação CAPTCHA, que instiga as vítimas a copiar e executar um script PowerShell codificado para acessar o conteúdo, uma técnica que foi chamada de ClickFix.
ClickFix, nos últimos meses, se tornou um truque popular de engenharia social para atrair usuários desavisados a baixar malware sob o pretexto de resolver um suposto erro ou completar uma reCAPTCHA.
Também é eficaz em contornar controles de segurança, dado o fato de que os usuários se infectam executando o código.
A empresa de segurança empresarial Proofpoint disse que a técnica ClickFix está sendo utilizada por vários atores de ameaças "não atribuídos" para entregar uma gama de trojans de acesso remoto, stealers e até frameworks de pós-exploração, como o Brute Ratel C4.
Até mesmo foi adotada por atores suspeitos de espionagem russa para violar entidades governamentais ucranianas.
"Atividades recentes foram observadas usando uma técnica ClickFix temática fake CAPTCHA que finge validar o usuário com uma verificação 'Verifique que você é humano' (CAPTCHA)," disseram os pesquisadores de segurança Tommy Madjar e Selena Larson.
Muita da atividade é baseada em um toolkit de código aberto chamado reCAPTCHA Phish disponível no GitHub para 'fins educacionais.
O insidioso sobre essa técnica é que os adversários se aproveitam do desejo inato das pessoas de serem úteis e independentes.
Ao fornecer o que parece ser tanto um problema quanto uma solução, as pessoas se sentem empoderadas para 'corrigir' o problema elas mesmas sem precisar alertar sua equipe de TI ou qualquer outra pessoa, e ela burla proteções de segurança ao fazer com que a pessoa se infecte.
As revelações também coincidem com um aumento nos ataques de phishing que utilizam pedidos falsos de Docusign para burlar a detecção e, em última análise, conduzir a fraudes financeiras.
"Esses ataques representam uma ameaça dupla para empreiteiros e fornecedores – perda financeira imediata e potencial interrupção nos negócios," disse SlashNext.
Quando um documento fraudulento é assinado, isso pode desencadear pagamentos não autorizados enquanto simultaneamente cria confusão sobre o verdadeiro status de licenciamento.
Essa incerteza pode levar a atrasos em dar lances em novos projetos ou manter contratos atuais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...