Текущая кампания нацелена на бизнес-аккаунты Facebook с помощью поддельных сообщений для сбора учетных данных жертв с помощью варианта NodeStealer на базе Python и потенциального захвата их учетных записей для последующих вредоносных действий.
"Атаки достигают жертв в основном в Южной Европе и Северной Америке в разных сегментах, во главе с производственными услугами и технологическими секторами", - сказал исследователь Netskope Threat Labs Ян Майкл в анализе, опубликованном в четверг.
Впервые задокументированная Meta в мае 2023 года, NodeStealer возникла как вредоносная программа на JavaScript, способная красть файлы cookie и пароли из веб-браузеров для компрометации Facebook, Gmail и учетных записей Outlook.
Подразделение Palo Alto Networks 42 в прошлом месяце выявило отдельную волну атак, которая имела место в декабре 2022 года с использованием версии вредоносного ПО на Python, отдельные итерации которого также предназначены для кражи криптовалюты.
Последние данные Netskope свидетельствуют о том, что вьетнамские злоумышленники, стоящие за операцией, скорее всего, возобновили свои атаки, не говоря уже о том, что они перенимают тактику, используемую другими злоумышленниками, действующими за пределами страны с теми же целями.
Чуть ранее на этой неделе Guardio Labs раскрыла, как мошеннические сообщения, отправленные через Facebook Messenger из ботнета поддельных и взломанных личных аккаунтов, используются для доставки файлов ZIP или RAR-архивов, чтобы доставить вредоносное ПО stealer ничего не подозревающим получателям.
Тот же способ действия служит исходным вектором для цепочек вторжений NodeStealer для распространения файлов RAR, размещенных в Facebook content delivery network (CDN).
"Изображения дефектных продуктов использовались в качестве приманки, чтобы убедить владельцев или администраторов бизнес-страниц Facebook загрузить вредоносную нагрузку", - объяснил Майкл.
Эти архивы поставляются с пакетным скриптом, который при выполнении открывает веб-браузер Chrome и переводит жертву на безопасную веб-страницу. Но в фоновом режиме выполняется команда PowerShell для извлечения дополнительных полезных данных, включая интерпретатор Python и вредоносную программу NodeStealer.
Программа–похититель, помимо захвата учетных данных и файлов cookie - независимо от того, Facebook они или нет – из различных веб-браузеров, предназначена для сбора системных метаданных и распространения информации через Telegram.
"По сравнению с предыдущими вариантами, новый вариант NodeStealer использует пакетные файлы для загрузки и запуска скриптов Python и кражи учетных данных и файлов cookie из нескольких браузеров и для нескольких веб-сайтов", - сказал Майкл.
"Эта кампания может стать началом более целенаправленной атаки в дальнейшем, поскольку злоумышленники уже собрали полезную информацию. Злоумышленники, которые украли файлы Facebook cookie и учетные данные, могут использовать их для завладения аккаунтом и совершения мошеннических транзакций, используя законную бизнес-страницу".
