NodeStealer 2.0 se apresenta como ‘Microsoft’ para hackear dados do Facebook e do navegador

Views: 202
0 0
Read Time:3 Minute, 22 Second

Os golpes de phishing direcionados a contas comerciais do Facebook para realizar fraudes publicitárias ou invasões de contas estão aumentando, o que é uma tendência preocupante. Recentemente, o Hackread publicou a pesquisa de Jerome Segura, da MalwareBytes, sobre falsos gerenciadores de anúncios Meta e extensões do Chrome, permitindo que os invasores iludam os titulares de contas comerciais a fazer investimentos em anúncios para aumentar as receitas de vendas.

Agora, os pesquisadores da Unidade 42 da Palo Alto Networks compartilharam detalhes de um novo ataque de phishing que distribui uma versão totalmente nova de um ladrão de informações mortal NodeStealer. Esta nova versão é apelidada de NodeStealer 2.0, que também visa contas comerciais do Facebook. Os pesquisadores acreditam que essa tendência de segmentar contas comerciais do Facebook começou em julho de 2022 com o surgimento do infostealer Ducktail . 

O malware NodeStealer foi detectado e removido pela Meta em maio de 2023. Ele pode roubar cookies do navegador para sequestrar contas comerciais do Facebook, realizar fraudes de anúncios, roubar credenciais de contas e baixar cargas adicionais, etc.

Nesta campanha, a cadeia de ataque começa com uma isca de phishing, por exemplo, oferecendo ferramentas como modelos de planilhas para empresas. Anteriormente, vimos golpes inspirados no ChatGPT oferecendo extensões maliciosas para usuários de contas comerciais. 

O NodeStealer 2.0r é semelhante ao seu antecessor, usando táticas de phishing para atrair usuários e distribuir arquivos executáveis ​​infectados por malware disfarçados de oportunidades de publicidade. As vítimas são induzidas a baixar um arquivo .ZIP de provedores de armazenamento de arquivos em nuvem respeitáveis ​​para ganhar sua confiança, mas seus dispositivos são infectados.

Captura de tela de um esquema de phishing do Facebook que induz os usuários a baixar o arquivo .ZIP (Captura de tela: Unidade 42 da Palo Alto Networks)

De acordo com o relatório da Unit 42 , o NodeStealer 2.0 possui recursos adicionais, como downloader e recursos de roubo de criptomoedas e uma aquisição completa de contas comerciais do Facebook. O primeiro ataque em que o NodeStealer 2.0 foi usado foi descoberto em dezembro de 2022, visando principalmente páginas do Facebook.

Vale a pena notar que ambas as versões (nomeadas pela Unit 42 como Variant 1 e Variant 2) são escritas em linguagem Python. O NodeStealer 2.0 se apresenta como a Microsoft Corporation e pode roubar e-mails, contas do Facebook e até mesmo possui recursos de anti-análise.

A segunda variante do infostealer na campanha foi chamada internamente de MicrosofOffice.exe e foi compilada com o Nuitka, o mesmo da primeira variante. Ao contrário da primeira variante, ela não gera muita atividade visível ao usuário desavisado. Para esta variante, o agente da ameaça usou o nome do produto “Microsoft Corporation” (originalmente escrito incorretamente pelos autores do malware).

Lior Rocheberger – Unidade 42 da Palo Alto Networks

A campanha NodeStealer 2.0 se originou no Vietnã e, de acordo com os pesquisadores, não está mais ativa. O link vietnamita foi identificado porque campanhas anteriores envolvendo Ducktail e NodeStealer foram lançadas por agentes de ameaças baseados no Vietnã. 

Malware visto roubando senhas de uma navegação direcionada (Captura de tela: Unidade 42 da Palo Alto Networks)

No entanto, pode ser parte de uma campanha maior em que os invasores estão usando métodos diferentes para atingir os titulares de contas comerciais do Facebook em busca de ganhos monetários. NodeStealer 2.0 parece uma continuação da mesma agenda, que pode causar enormes perdas financeiras para as organizações, e os usuários ficam expostos a ameaças adicionais devido a vazamentos de credenciais, além de danos à reputação.

Acesse este link para conferir os indicadores de comprometimento . Isso está se tornando uma ameaça feroz; portanto, as organizações e os titulares de contas comerciais do Facebook devem permanecer cautelosos ao baixar executáveis. Usar senhas fortes com MFA e treinar funcionários para detectar iscas de phishing pode ser crucial para proteger sua privacidade e dados nas mídias sociais.

FONTE: HACKREAD

POSTS RELACIONADOS