Una campagna in corso sta mirando agli account aziendali di Facebook con messaggi falsi al fine di raccogliere le credenziali delle vittime utilizzando una variante di NodeStealer basata su Python e potenzialmente prendere il controllo dei loro account per attività maliziose successive.
Quando è saltato fuori NodeStealer secondo gli analisti
“Gli attacchi stanno raggiungendo principalmente le vittime nel Sud Europa e Nord America in diversi settori, guidati dai servizi manifatturieri e dal settore tecnologico“, ha dichiarato Jan Michael, ricercatore di Netskope Threat Labs, in un’analisi pubblicata giovedì.
Documentato per la prima volta da Meta nel maggio 2023, NodeStealer ha avuto origine come malware JavaScript in grado di sottrarre cookie e password dai browser web per compromettere gli account di Facebook, Gmail e Outlook.
Palo Alto Networks Unit 42, il mese scorso, ha rivelato un’onda di attacchi separata avvenuta nel dicembre 2022 utilizzando una versione in Python del malware, con alcune iterazioni progettate anche per compiere furti di criptovalute.
Le ultime scoperte di Netskope suggeriscono che i malintenzionati dietro l’operazione hanno probabilmente ripreso i loro sforzi di attacco, senza tralasciare di adottare tattiche utilizzate da altri avversari operanti nello stesso paese con gli stessi obiettivi.
Proprio la scorsa settimana, Guardio Labs ha reso noto come messaggi fraudolenti inviati tramite Facebook Messenger da un botnet di account personali falsi e dirottati vengano utilizzati per consegnare file archivio ZIP o RAR a destinatari ignari, al fine di diffondere il malware stealer.
Lo stesso modus operandi funge da vettore iniziale per le catene di intrusioni di NodeStealer per distribuire file RAR ospitati sulla rete di distribuzione dei contenuti di Facebook (CDN).
Il funzionamento di questo “nuovo” malware
“Immagini di prodotti difettosi sono state utilizzate come esca per convincere i proprietari o gli amministratori delle pagine aziendali di Facebook [Facebook Business] a scaricare il payload del malware“, ha spiegato Michael.
Questi archivi sono dotati di uno script batch che, quando eseguito, apre il browser web Chrome e porta la vittima a una pagina web benigna. Ma in background, viene eseguito un comando PowerShell per recuperare carichi utili aggiuntivi, compreso l’interprete Python e il malware NodeStealer.
Il malware stealer, oltre a catturare credenziali e cookie – indipendentemente che provengano da Facebook o meno – da vari browser web, è progettato per raccogliere metadati di sistema ed esfiltrare le informazioni tramite Telegram.
“Rispetto alle varianti precedenti, la nuova variante di NodeStealer utilizza file batch per scaricare ed eseguire script Python e rubare credenziali e cookie da diversi browser e per diversi siti web“, ha affermato Michael.
Michael, alla fine, ha aggiunto: “Questa campagna potrebbe essere una porta d’ingresso per un attacco più mirato in seguito, dato che hanno già raccolto informazioni utili. Gli attaccanti che hanno rubato cookie e credenziali di Facebook possono usarli per prendere il controllo dell’account e effettuare transazioni fraudolente sfruttando la pagina aziendale legittima“.
Multipiattaforma e “multibrowser”
Dato che non è detto che tutti usino Windows, chi ha ideato NodeStealer ha pensato “bene gli utenti PC usano tutti un browser, e se riuscissimo ad aggirare i browser anziché i sistemi operativi?”.
Gira e rigira, infatti, che tu usi Windows, Linux o Mac i browser sono solitamente gli stessi, e la maggioranza di essi pure su base Chromium, per questa ragione, in questo caso specifico si è scelto di attaccare il browser anziché una falla del sistema operativo.
