Дослідники з кібербезпеки попереджають про оновлену версію шкідливого програмного забезпечення NodeStealer, написаного на Python. Новий варіант здатний красти більше даних із акаунтів Facebook Ads Manager та зчитувати інформацію про кредитні картки, збережену у веббраузерах.
За словами дослідника Netskope Threat Labs Яна Майкла Алкантари, NodeStealer збирає дані про бюджети рекламних акаунтів, що можуть бути використані для зловмисної реклами у Facebook. Крім того, шкідливе ПЗ застосовує нові техніки, зокрема використання Windows Restart Manager для розблокування баз даних браузера, додавання зайвого коду та динамічне створення й виконання Python-скриптів.
Спочатку задокументоване Meta у травні 2023 року як JavaScript-шкідник, NodeStealer еволюціонував у Python-інструмент для крадіжки даних Facebook-акаунтів і спроб їх захоплення. Вважається, що його розробниками є в’єтнамські зловмисники, які раніше використовували подібні шкідливі програми для викрадення рекламних і бізнес-акаунтів у Facebook.
Нова мета — Facebook Business і Ads Manager
Останні аналізи Netskope показують, що NodeStealer тепер орієнтований на рекламні акаунти Facebook Ads Manager і бізнес-акаунти. Зловмисники використовують Facebook Graph API для збору інформації про бюджети, отримуючи доступ через cookies, зібрані на комп’ютерах жертв.
Цікаво, що шкідливе ПЗ має перевірку, яка унеможливлює зараження пристроїв у В’єтнамі, що свідчить про бажання розробників уникнути переслідування місцевими органами влади.
NodeStealer також використовує Windows Restart Manager для доступу до файлів SQLite, де можуть зберігатися дані кредитних карток. Для передачі викрадених даних застосовується Telegram, який, попри нові політики, залишається популярним каналом для кіберзлочинців.
Facebook як платформа для поширення
Facebook часто стає інструментом для зловмисної реклами, що поширює шкідливе ПЗ під виглядом популярного програмного забезпечення чи ігор. Наприклад, 3 листопада 2024 року було зафіксовано кампанію, що імітувала менеджер паролів Bitwarden через спонсоровані оголошення у Facebook.
ClickFix: небезпечна соціальна інженерія
Одночасно з цим зростає використання техніки ClickFix, що обманом змушує жертв виконувати шкідливий код. Ця методика часто маскується під CAPTCHA-перевірки. Дослідники зазначають, що користувачі самостійно інфікують свої пристрої, виконуючи команди, надані зловмисниками.
Такі атаки створюють загрозу не лише для окремих осіб, але й для компаній, викликаючи фінансові втрати та бізнес-перебої.
