Изследователи в областта на киберсигурността са открили Python вариант на зловреден софтуер NodeStealer, който е оборудван за пълно превземане на бизнес акаунти във Facebook и за изтегляне на криптовалута.

Unit 42 на Palo Alto Network заяви, че е открило недокументирания досега щам като част от кампания, започнала през декември 2022 г.

NodeStealer е разкрит за първи път от Meta през май 2023 г., като е описан като крадец, способен да събира бисквитки и пароли от уеб браузъри, за да компрометира акаунти във Facebook, Gmail и Outlook. Докато предишните образци са били написани на JavaScript, последните версии са кодирани на Python.

„NodeStealer представлява голям риск както за отделните лица, така и за организациите“, казва изследователят от Unit 42 Лиор Рохбергер. „Освен прякото въздействие върху бизнес акаунтите във Facebook, което е предимно финансово, зловредният софтуер краде и идентификационни данни от браузъри, които могат да се използват за по-нататъшни атаки.“

Атаките започват с фалшиви съобщения във Facebook, които уж твърдят, че предлагат безплатни „професионални“ шаблони за проследяване на бюджета в Microsoft Excel и Google Sheets, като подмамват жертвите да изтеглят архивен ZIP файл, хостван в Google Drive.

В ZIP файла е вграден изпълнимият файл на крадеца, който освен че прихваща информация за бизнес акаунта във Facebook, е предназначен да изтегля допълнителен зловреден софтуер като BitRAT и XWorm под формата на ZIP файлове, да деактивира антивирусната програма на Microsoft Defender и да извършва кражба на криптовалути, като използва данните MetaMask от уеб браузърите Google Chrome, Cốc Cốc и Brave.

Изтеглянията се извършват чрез техника за заобикаляне на контрола на потребителските акаунти (UAC), която използва fodhelper.exe за изпълнение на PowerShell скриптове, които извличат ZIP файловете от отдалечен сървър.

Струва си да се отбележи, че методът за заобикаляне на UAC на FodHelper е възприет и от финансово мотивирани участници в заплахи, стоящи зад банковия зловреден софтуер Casbaneiro, за да получат повишени привилегии над заразените хостове.

Unit 42 заяви, че освен това е забелязало усъвършенстван Python вариант на NodeStealer, който отива отвъд кражбата на удостоверения и криптовалути, като прилага функции за антианализ, анализира имейли от Microsoft Outlook и дори се опитва да превземе свързания профил във Facebook.

След като се събере необходимата информация, файловете се ексфилтрират чрез Telegram API, след което се изтриват от машината, за да се заличат следите.

NodeStealer се присъединява към зловреден софтуер като Ducktail, който е част от нарастваща тенденция на виетнамски  заплахи, стремящи се да проникнат в бизнес акаунти във Facebook, за да извършват рекламни измами и да разпространяват зловреден софтуер сред други потребители на платформата за социални медии.

Разработката идва в момент, когато са наблюдавани заплахи, използващи WebDAV сървъри за внедряване на BATLOADER, който след това се използва за разпространение на XWorm като част от многоетапна фишинг атака.

„Притежателите на бизнес акаунти във Facebook се насърчават да използват силни пароли и да активират многофакторна автентикация“, каза Рочбергер. „Отделете време да осигурите обучение на организацията си относно фишинг тактиките, особено модерните, целенасочени подходи, които се възползват от актуални събития, бизнес нужди и други привлекателни теми.“