{"id":5216,"date":"2023-08-04T20:49:44","date_gmt":"2023-08-04T18:49:44","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5216"},"modified":"2023-08-04T20:49:44","modified_gmt":"2023-08-04T18:49:44","slug":"nodestealer-napada-poslovne-facebook-naloge","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/08\/04\/nodestealer-napada-poslovne-facebook-naloge\/","title":{"rendered":"NodeStealer napada poslovne Facebook naloge"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di su otkrili<\/a> Python<\/em> varijantu zlonamjernog softvera<\/a> za kra\u0111u NodeStealer<\/em> koja je opremljena da u potpunosti preuzme Facebook<\/em> poslovne naloge, kao i siphon<\/em> kriptovalutu.<\/span><\/p>\n

\"NodeStealer\"

NodeStealer napada poslovne Facebook naloge; Source: Bing Image Creator<\/em><\/p><\/div>\n

NodeStealer<\/em> je prvi put razotkriven od strane kompanije Meta<\/em> u maju 2023. godine, kada je opisan kao kradljivac koji je sposoban da prikupi kola\u010dic\u0301e i lozinke<\/a> iz Internet pregleda\u010da kako bi kompromitovao Facebook<\/em>, Gmail<\/em> i Outlook<\/em> naloge. Dok je za prethodne uzorke kori\u0161ten JavaScript<\/em>, najnovije verzije su k\u00f4dirane u Python<\/em> programskom jeziku.<\/span><\/p>\n

 <\/p>\n

Phishing<\/em> kampanja<\/strong><\/span><\/h2>\n

Kradljivac podataka distribuiran u kampanji djeli vi\u0161estruke sli\u010dnosti sa varijantom NodeStealer<\/em> sastavljenom u julu 2022.\u00a0 godine koju je kompanija Meta<\/em> analizirala, a koja je napisana u JavaScript<\/em>-u. Me\u0111utim, nova kampanja uklju\u010duje dvije varijante napisane na Python<\/em> programskom jeziku, pobolj\u0161ane dodatnim funkcijama u korist zlonamjernog aktera<\/a>, koji je opremio ove varijante mogu\u0107nostima kra\u0111e kriptovaluta, mogu\u0107nostima preuzimanja i mogu\u0107no\u0161\u0107u potpunog preuzimanja Facebook<\/em> poslovnih naloga.<\/span><\/p>\n

NodeStealer<\/em> predstavlja veliki rizik i za pojedince i za organizacije, posebno \u0161to osim direktnog uticaja na Facebook<\/em> poslovne naloge, koji je uglavnom finansijski, zlonamjerni softver krade i akreditive iz pretra\u017eiva\u010da, koji se mogu koristiti za dalje napade.<\/span><\/p>\n

Iako ova specifi\u010dna kampanja vi\u0161e nije aktivna, postoje indicije da bi zlonamjerni akteri koji stoje iza nje mogli nastaviti da koriste i razvijaju NodeStealer<\/em> ili da koriste sli\u010dne tehnike kako bi nastavili da ciljaju Facebook<\/em> poslovne naloge. Tako\u0111e je moguc\u0301e da postoji trajna prijetnja za prethodno kompromitovane organizacije.<\/span><\/p>\n

 <\/p>\n

NodeStealer <\/em>infekcija korisnika<\/strong><\/span><\/h3>\n

Napad po\u010dinje obmanjujuc\u0301im porukama koje kru\u017ee Facebook<\/em> platformom, nude\u0107i besplatno \u201cprofesionalno\u201d<\/em> prac\u0301enje bud\u017eeta za Microsoft<\/em> Excel<\/em> i Google<\/em> Sheets<\/em>\u00a0 \u0161ablone. Korisnici su prevareni da preuzmu ZIP<\/em> arhivsku datoteku koja se nalazi na Google<\/em> disku.<\/span><\/p>\n

Unutar ove ZIP<\/em> datoteke skrivena je izvr\u0161na datoteka zlonamjernog kradljivca, dizajnirana da preuzme vrijedne informacije sa Facebook<\/em> poslovnih naloga. Pored toga, ima mogu\u0107nost da isporu\u010di i zlonamjerne softvere BitRAT<\/em> i XWorm<\/em> u obliku ZIP<\/em> datoteka, onemogu\u0107i Microsoft Defender Antivirus<\/em> i sprovodi kra\u0111u kriptovalute iskori\u0161\u0107avanjem MetaMask<\/em> akreditiva iz Google Chrome, C\u1ed1c C\u1ed1c<\/em> i Brave<\/em> pregleda\u010da.<\/span><\/p>\n

Kako bi olak\u0161ali preuzimanje dodatnog zlonamjernog softvera, napada\u010di koriste tehniku zaobila\u017eenja kontrole korisni\u010dkog naloga (UAC<\/em>) koriste\u0107i fodhelper.exe<\/em>. Ovaj metod omogu\u0107ava izvr\u0161avanje PowerShell<\/em> skripti koje preuzimaju ZIP<\/em> datoteke sa udaljenog servera, daju\u0107i napada\u010dima povi\u0161ene privilegije nad zara\u017eenim ure\u0111ajima. Posebno je interesantno u nadogra\u0111enoj Python<\/em> varijantu NodeStealer<\/em> zlonamjernog softvera, koja pokazuje mehanizme protiv analize i napredne mogu\u0107nosti. Sada analizira Microsoft<\/em> Outlook<\/em> elektronsku po\u0161tu i poku\u0161ava da preuzme povezani Facebook<\/em> nalog.,<\/span><\/p>\n

Kada se prikupe potrebne informacije, zlonamjerni softver \u0161alje datoteke preko Telegram API<\/em>-ja pre nego \u0161to odmah izbri\u0161e bilo kakav trag svoje aktivnosti sa zara\u017eenog ure\u0111aja.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h4>\n

Ovdje je opisana kampanja zlonamjernog softvera NodeStealer<\/em> koja cilja Facebook<\/em> poslovne naloge. U okviru kampanje otkrivene varijante NodeStealer<\/em> pokazuju zanimljivo pona\u0161anje zlonamjernog softvera koje uklju\u010duje mnogo vi\u0161e funkcija od prvobitne verzije, \u0161to \u0107e vjerovatno povec\u0301ati potencijalni profit za zlonamjerne aktere.<\/span><\/p>\n

Zlonamjerni akter, za koga se sumnja da je vijetnamskog porekla, obezbijedio je nove varijante sa mogu\u0107nostima kra\u0111e kriptovaluta, mogu\u0107nostima preuzimanja i mogu\u0107no\u0161\u0107u potpunog preuzimanja Facebook<\/em> poslovnih naloga. Potencijalna \u0161teta i za pojedince i za organizacije mo\u017ee se odraziti ne samo u finansijskim gubicima, ve\u0107 i u pogledu reputacije.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h5>\n

Vlasnici Facebook<\/em> poslovnih naloga se podsti\u010du da koriste jake lozinke i omogu\u0107e autentifikaciju u vi\u0161e koraka. Korisnici bi tako\u0111e trebalo da odvoje vrijeme da se upoznaju sa taktikama phishing<\/em> napada<\/a>, posebno o modernim, ciljanim pristupima koji odra\u017eavaju aktuelne doga\u0111aje, poslovne potrebe i druge privla\u010dne teme.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di su otkrili Python varijantu zlonamjernog softvera za kra\u0111u NodeStealer koja je opremljena da u potpunosti preuzme Facebook poslovne naloge, kao i siphon kriptovalutu. NodeStealer je prvi put razotkriven od strane kompanije Meta...<\/p>","protected":false},"author":1,"featured_media":5217,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[502,287,148,93,501,191],"class_list":["post-5216","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-cryptocurrency","tag-facebook","tag-infostealer","tag-malware","tag-nodestealer","tag-python"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5216"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5216\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5217"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}