NodeStealer napada poslovne Facebook naloge
Sigurnosni istraživači su otkrili Python varijantu zlonamjernog softvera za krađu NodeStealer koja je opremljena da u potpunosti preuzme Facebook poslovne naloge, kao i siphon kriptovalutu.
NodeStealer napada poslovne Facebook naloge; Source: Bing Image Creator
NodeStealer je prvi put razotkriven od strane kompanije Meta u maju 2023. godine, kada je opisan kao kradljivac koji je sposoban da prikupi kolačiće i lozinke iz Internet pregledača kako bi kompromitovao Facebook, Gmail i Outlook naloge. Dok je za prethodne uzorke korišten JavaScript, najnovije verzije su kôdirane u Python programskom jeziku.
Phishing kampanja
Kradljivac podataka distribuiran u kampanji djeli višestruke sličnosti sa varijantom NodeStealer sastavljenom u julu 2022. godine koju je kompanija Meta analizirala, a koja je napisana u JavaScript-u. Međutim, nova kampanja uključuje dvije varijante napisane na Python programskom jeziku, poboljšane dodatnim funkcijama u korist zlonamjernog aktera, koji je opremio ove varijante mogućnostima krađe kriptovaluta, mogućnostima preuzimanja i mogućnošću potpunog preuzimanja Facebook poslovnih naloga.
NodeStealer predstavlja veliki rizik i za pojedince i za organizacije, posebno što osim direktnog uticaja na Facebook poslovne naloge, koji je uglavnom finansijski, zlonamjerni softver krade i akreditive iz pretraživača, koji se mogu koristiti za dalje napade.
Iako ova specifična kampanja više nije aktivna, postoje indicije da bi zlonamjerni akteri koji stoje iza nje mogli nastaviti da koriste i razvijaju NodeStealer ili da koriste slične tehnike kako bi nastavili da ciljaju Facebook poslovne naloge. Takođe je moguće da postoji trajna prijetnja za prethodno kompromitovane organizacije.
NodeStealer infekcija korisnika
Napad počinje obmanjujućim porukama koje kruže Facebook platformom, nudeći besplatno “profesionalno” praćenje budžeta za Microsoft Excel i Google Sheets šablone. Korisnici su prevareni da preuzmu ZIP arhivsku datoteku koja se nalazi na Google disku.
Unutar ove ZIP datoteke skrivena je izvršna datoteka zlonamjernog kradljivca, dizajnirana da preuzme vrijedne informacije sa Facebook poslovnih naloga. Pored toga, ima mogućnost da isporuči i zlonamjerne softvere BitRAT i XWorm u obliku ZIP datoteka, onemogući Microsoft Defender Antivirus i sprovodi krađu kriptovalute iskorišćavanjem MetaMask akreditiva iz Google Chrome, Cốc Cốc i Brave pregledača.
Kako bi olakšali preuzimanje dodatnog zlonamjernog softvera, napadači koriste tehniku zaobilaženja kontrole korisničkog naloga (UAC) koristeći fodhelper.exe. Ovaj metod omogućava izvršavanje PowerShell skripti koje preuzimaju ZIP datoteke sa udaljenog servera, dajući napadačima povišene privilegije nad zaraženim uređajima. Posebno je interesantno u nadograđenoj Python varijantu NodeStealer zlonamjernog softvera, koja pokazuje mehanizme protiv analize i napredne mogućnosti. Sada analizira Microsoft Outlook elektronsku poštu i pokušava da preuzme povezani Facebook nalog.,
Kada se prikupe potrebne informacije, zlonamjerni softver šalje datoteke preko Telegram API-ja pre nego što odmah izbriše bilo kakav trag svoje aktivnosti sa zaraženog uređaja.
Zaključak
Ovdje je opisana kampanja zlonamjernog softvera NodeStealer koja cilja Facebook poslovne naloge. U okviru kampanje otkrivene varijante NodeStealer pokazuju zanimljivo ponašanje zlonamjernog softvera koje uključuje mnogo više funkcija od prvobitne verzije, što će vjerovatno povećati potencijalni profit za zlonamjerne aktere.
Zlonamjerni akter, za koga se sumnja da je vijetnamskog porekla, obezbijedio je nove varijante sa mogućnostima krađe kriptovaluta, mogućnostima preuzimanja i mogućnošću potpunog preuzimanja Facebook poslovnih naloga. Potencijalna šteta i za pojedince i za organizacije može se odraziti ne samo u finansijskim gubicima, već i u pogledu reputacije.
Zaštita
Vlasnici Facebook poslovnih naloga se podstiču da koriste jake lozinke i omoguće autentifikaciju u više koraka. Korisnici bi takođe trebalo da odvoje vrijeme da se upoznaju sa taktikama phishing napada, posebno o modernim, ciljanim pristupima koji odražavaju aktuelne događaje, poslovne potrebe i druge privlačne teme.
