Новый штамм NodeStealer угрожает коммерческим учетным записям на Facebook*
03/08/23
Специалисты по кибербезопасности выявили новую разновидность программы-вымогателя NodeStealer, написанную на Python. С помощью этого механизма хакеры могут без труда компрометировать коммерческие аккаунты на Facebook * и похищать криптовалюту.
Как сообщает компания Palo Alto Networks Unit 42, ранее неизвестный «штамм» был обнаружен в ходе киберкампании, начавшейся в декабре 2022 года, передает Securitylab. В настоящее время нет свидетельств того, что эта атака продолжается.
NodeStealer впервые описала компания Meta * в мае 2023 года, назвав его вредоносной программой, способной собирать пароли и куки-файлы из браузеров для взлома учетных записей Facebook, Gmail и Outlook. Тогда образцы были написаны на JavaScript, а новые версии — уже на Python.
По словам исследователя Лиора Рошбергера из Unit 42, NodeStealer несет большую угрозу как для отдельных людей, так и для бизнеса. Помимо причинения финансового ущерба, программа ворует логины и пароли из браузеров, которые используются в дальнейших атаках.
Атаки начинаются с фишинговых сообщений о якобы бесплатных шаблонах для Excel и Google Таблиц. Жертвам предлагается скачать архив с Google Диска.
Внутри архива находится исполняемый файл NodeStealer. Он не только собирает данные об аккаунтах организаций, но и отключает антивирус Microsoft Defender, а также ворует криптовалюту с помощью учетных данных MetaMask.
Для загрузки вредоносного кода используется обход контроля учетных записей (UAC). Такой же метод применяют злоумышленники, распространяющие банковский троян Casbaneiro.
Кроме того, была обнаружена модифицированная версия NodeStealer с дополнительными функциями: парсинг писем из Outlook, антианалитические инструменты и даже попытки полного захвата аккаунтов.
После кражи данных NodeStealer отправляет их через Telegram API, а затем удаляет файлы, чтобы скрыть следы взлома.
Эксперты отмечают, что NodeStealer — часть растущего тренда среди мошенников из Вьетнама, которые стали часто взламывать бизнес-страницы на Facebook.
Владельцам бизнес-аккаунтов рекомендуется использовать сложные пароли, двухфакторную аутентификацию и регулярно обучать сотрудников распознавать современные формы фишинга.
* Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями; их деятельность запрещена на территории РФ.