Търсене
Close this search box.

NodeStealer е бич за бизнес акаунти във Facebook и крипто портфейли

Изследователи в областта на киберсигурността са открили Python вариант на зловреден софтуер NodeStealer, който е оборудван за пълно превземане на бизнес акаунти във Facebook и за изтегляне на криптовалута.

Unit 42 на Palo Alto Network заяви, че е открило недокументирания досега щам като част от кампания, започнала през декември 2022 г.

NodeStealer е разкрит за първи път от Meta през май 2023 г., като е описан като крадец, способен да събира бисквитки и пароли от уеб браузъри, за да компрометира акаунти във Facebook, Gmail и Outlook. Докато предишните образци са били написани на JavaScript, последните версии са кодирани на Python.

„NodeStealer представлява голям риск както за отделните лица, така и за организациите“, казва изследователят от Unit 42 Лиор Рохбергер. „Освен прякото въздействие върху бизнес акаунтите във Facebook, което е предимно финансово, зловредният софтуер краде и идентификационни данни от браузъри, които могат да се използват за по-нататъшни атаки.“

Атаките започват с фалшиви съобщения във Facebook, които уж твърдят, че предлагат безплатни „професионални“ шаблони за проследяване на бюджета в Microsoft Excel и Google Sheets, като подмамват жертвите да изтеглят архивен ZIP файл, хостван в Google Drive.

В ZIP файла е вграден изпълнимият файл на крадеца, който освен че прихваща информация за бизнес акаунта във Facebook, е предназначен да изтегля допълнителен зловреден софтуер като BitRAT и XWorm под формата на ZIP файлове, да деактивира антивирусната програма на Microsoft Defender и да извършва кражба на криптовалути, като използва данните MetaMask от уеб браузърите Google Chrome, Cốc Cốc и Brave.

Изтеглянията се извършват чрез техника за заобикаляне на контрола на потребителските акаунти (UAC), която използва fodhelper.exe за изпълнение на PowerShell скриптове, които извличат ZIP файловете от отдалечен сървър.

Струва си да се отбележи, че методът за заобикаляне на UAC на FodHelper е възприет и от финансово мотивирани участници в заплахи, стоящи зад банковия зловреден софтуер Casbaneiro, за да получат повишени привилегии над заразените хостове.

Unit 42 заяви, че освен това е забелязало усъвършенстван Python вариант на NodeStealer, който отива отвъд кражбата на удостоверения и криптовалути, като прилага функции за антианализ, анализира имейли от Microsoft Outlook и дори се опитва да превземе свързания профил във Facebook.

След като се събере необходимата информация, файловете се ексфилтрират чрез Telegram API, след което се изтриват от машината, за да се заличат следите.

NodeStealer се присъединява към зловреден софтуер като Ducktail, който е част от нарастваща тенденция на виетнамски  заплахи, стремящи се да проникнат в бизнес акаунти във Facebook, за да извършват рекламни измами и да разпространяват зловреден софтуер сред други потребители на платформата за социални медии.

Разработката идва в момент, когато са наблюдавани заплахи, използващи WebDAV сървъри за внедряване на BATLOADER, който след това се използва за разпространение на XWorm като част от многоетапна фишинг атака.

„Притежателите на бизнес акаунти във Facebook се насърчават да използват силни пароли и да активират многофакторна автентикация“, каза Рочбергер. „Отделете време да осигурите обучение на организацията си относно фишинг тактиките, особено модерните, целенасочени подходи, които се възползват от актуални събития, бизнес нужди и други привлекателни теми.“

 

 

 

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
19 май 2024

Grandoreiro се завръща по - мощен след прекъсва...

Банковият троянец за Android „Grandoreiro“ се разпростр...
19 май 2024

Норвежци предсказват бедствия с ИИ

Норвежкият стартъп 7Analytics е получил 4 млн. евро, за да предскаж...
Бъдете социални
Още по темата
19/05/2024

Grandoreiro се завръща по -...

Банковият троянец за Android „Grandoreiro“ се...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
14/05/2024

Ботнет е изпратил милиони и...

От април насам милиони фишинг имейли...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!