El malware NodeStealer apunta ahora a cuentas comerciales de Facebook en múltiples navegadores
Utiliza archivos por lotes para descargar y ejecutar scripts de Python
Una campaña en curso está dirigida a las cuentas comerciales de Facebook con mensajes falsos para recopilar las credenciales de las víctimas utilizando una variante de NodeStealer basado en Python y potencialmente apoderarse de sus cuentas para realizar posteriores actividades maliciosas.
"Los ataques están alcanzando víctimas principalmente en el sur de Europa y América del Norte en diferentes segmentos, liderados por los sectores de tecnología y servicios de fabricación", dijo en un análisis publicado el jueves el investigador de Netskope Threat Labs, Jan Michael.
Documentado por primera vez por Meta en mayo de 2023, NodeStealer se originó como un malware de JavaScript capaz de robar cookies y contraseñas de navegadores web para comprometer cuentas de Facebook, Gmail y Outlook.
La Unidad 42 de Palo Alto Networks, reveló el mes pasado una ola de ataques separada que tuvo lugar en diciembre de 2022 utilizando una versión Python del malware, con iteraciones seleccionadas también diseñadas para realizar robo de criptomonedas.
Los últimos hallazgos de Netskope sugieren que los actores de amenazas vietnamitas detrás de la operación probablemente hayan reanudado sus esfuerzos de ataque, sin mencionar la adopción de tácticas utilizadas por otros adversarios que operan fuera del país con los mismos objetivos.
A principios de esta semana, Guardio Labs reveló cómo los mensajes fraudulentos enviados a través de Facebook Messenger desde una botnet de cuentas personales falsas y secuestradas se están aprovechando para entregar archivos ZIP o RAR para entregar el malware ladrón a desprevenidos destinatarios.
El mismo modus operandi actúa como vector inicial para que las cadenas de intrusión de NodeStealer distribuyan archivos RAR alojados en la red de entrega de contenido (CDN) de Facebook.
"Se utilizaron como cebo imágenes de productos defectuosos para convencer a los propietarios o administradores de páginas comerciales de Facebook de que descargaran la carga útil del malware", explicó Michael.
Estos archivos vienen equipados con un script por lotes que, cuando se ejecuta, abre el navegador web Chrome y lleva a la víctima a una página web benigna. Pero en segundo plano, se ejecuta un comando de PowerShell para recuperar cargas útiles adicionales, incluido el intérprete de Python y el malware NodeStealer.
El ladrón, además de capturar credenciales y cookies (independientemente de si son de Facebook o no) de varios navegadores web, está diseñado para recopilar metadatos del sistema y filtrar la información a través de Telegram.
"En comparación con variantes anteriores, la nueva variante NodeStealer utiliza archivos por lotes para descargar y ejecutar scripts de Python, y robar credenciales y cookies de múltiples navegadores y para múltiples sitios web", dijo Michael.
"Esta campaña podría ser una puerta de entrada a un ataque más dirigido más adelante, ya que ya han recopilado información útil. Los atacantes que han robado cookies y credenciales de Facebook pueden usarlas para apoderarse de la cuenta y realizar transacciones fraudulentas aprovechando la página comercial legítima".
