Uma campanha em andamento está mirando contas do Facebook Business com mensagens falsas para coletar as credenciais das vítimas utilizando uma variante do NodeStealer baseado em Python e, potencialmente, assumir suas contas para atividades maliciosas posteriores.
"As investidas estão atingindo vítimas principalmente no sul da Europa e na América do Norte, em diferentes segmentos, liderados pelos setores de serviços de manufatura e tecnologia", disse Jan Michael, pesquisador do Netskope Threat Labs, em uma análise publicada na quinta-feira.
Primeiramente documentado pela Meta em maio de 2023, o NodeStealer se originou como um malware JavaScript capaz de roubar cookies e senhas de navegadores da web para comprometer as contas do Facebook, Gmail e Outlook.
A Unit 42 da Palo Alto Networks, no mês passado, revelou uma onda separada de ataques que ocorreram em dezembro de 2022 usando uma versão em Python do malware, com algumas iterações também projetadas para realizar roubos de criptomoedas.
Os últimos resultados do Netskope sugerem que os atores de ameaças vietnamitas por trás da operação provavelmente retomaram seus esforços de ataque, sem mencionar a adoção de táticas usadas por outros adversários que operam fora do país com os mesmos objetivos.
No início desta semana, a Guardio Labs revelou como as mensagens fraudulentas enviadas via Facebook Messenger por um botnet de contas falsas e sequestradas estão sendo utilizadas para entregar arquivos ZIP ou RAR contendo o malware stealer para destinatários desavisados.
O mesmo modus operandi atua como vetor inicial para as correntes de intrusão do NodeStealer distribuir arquivos RAR hospedados na rede de entrega de conteúdo (CDN) do Facebook.
"Imagens de produtos defeituosos foram usadas como isca para convencer os proprietários ou administradores de páginas de negócios do Facebook a baixar o payload do malware", explicou Michael.
Estes arquivos vem equipados com um script em lote que, quando executado, abre o navegador Chrome e leva a vítima para uma página da web benigna.
Mas, em segundo plano, é executado um comando PowerShell para buscar payloads adicionais, incluindo o interpretador Python e o malware NodeStealer.
O stealer, além de capturar credenciais e cookies - seja do Facebook ou não - de vários navegadores da web, é projetado para coletar metadados do sistema e exfiltrar as informações pelo Telegram.
"Comparado às variantes anteriores, a nova variante do NodeStealer usa arquivos em lote para baixar e executar scripts Python, e roubar credenciais e cookies de vários navegadores e para vários sites", disse Michael.
"Essa campanha pode ser uma porta de entrada para um ataque mais direcionado no futuro, já que já reuniram informações úteis.
Os invasores que roubaram cookies e credenciais do Facebook podem usá-los para assumir a conta, fazer transações fraudulentas aproveitando a página de negócios legítima."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...