Campagne malvertising distribuiscono NodeStealer per dirottare gli account Facebook

Bitdefender Labs ha monitorato la tendenza crescente tra i criminali informatici di sfruttare attivamente i social media per il malvertising, allo scopo ultimo di prendere il controllo degli account e rubare dati personali tramite software malevolo.

Nella fattispecie i ricercatori avrebbero scoperto diversi account Facebook compromessi utilizzati per pubblicare falsi annunci che propongono foto osé di giovani donne come esca per indurre in realtà le vittime a scaricare una versione aggiornata del NodeStealer.

Fonte Bitdefender

In pratica “Facendo click sugli annunci si scarica immediatamente un archivio contenente un file .exe dannoso ‘Photo Album’ che rilascia anche un secondo eseguibile scritto in .NET: questo payload è responsabile del furto di cookie e password del browser“, spiega il rapporto Bitdefender.

Tali album, infatti, sono degli archivi, memorizzati su repository Bitbucket o Gitlab, contenenti un eseguibile Windows che distribuisce versioni più recenti di NodeStealer sul dispositivo degli utenti.

Fonte Bitdefender

Lo strumento Ads Manager di Meta viene sfruttato attivamente in queste campagne per rivolgersi agli utenti maschi su Facebook, di età compresa tra 18 e 65 anni, provenienti da Europa, Africa e Caraibi”, continua il rapporto e “la fascia demografica più colpita è quella dei maschi con più di 45 anni.

NodeStealer

NodeStealer è un infostealer scoperto dal team di sicurezza di Meta nel gennaio 2023, che consente agli autori delle minacce di rubare i cookie del browser e condurre acquisizioni di account su larga scala. Sebbene sia stato progettato principalmente per dirottare le sessioni di cookie dai browser Web tra cui Google Chrome, Microsoft Edge, Brave e Opera e per impossessarsi degli account Facebook, gli autori delle minacce, secondo Bitdefender, durante l’anno avrebbero aggiunto nuove funzionalità al malware. Infatti i campioni scoperti dai ricercatori sarebbero versioni con capacità aggiuntive che consentono di ottenere accessi illeciti nelle piattaforme Gmail e Outlook, per rubare i saldi dei wallet crittografici e scaricare ulteriori payload.

Conclusioni

L’obiettivo finale degli attacchi è sfruttare i cookie rubati per aggirare meccanismi di sicurezza come l’autenticazione a due fattori e modificare le password per prendere possesso degli account delle vittime. Per difendersi dalle minacce come NodeStealer, si raccomanda di utilizzare sempre una soluzione di sicurezza anche sui propri dispositivi mobili mantenendola aggiornata. Inoltre, tutti gli utenti dovrebbero sempre prestare la massima attenzione alle proprie attività online, astenendosi dallo scaricare qualsiasi tipo di file da collegamenti, avvisi o annunci arbitrari.

Al momento della stesura del presente articolo, i campioni rilevati da Bitdefender presentano un basso tasso di rilevamento su VirusTotal.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.