NodeStealer, il malware si intrufola tramite messaggi Facebook

Una campagna in corso sta prendendo di mira gli account Facebook Business con falsi messaggi allo scopo di raccogliere le credenziali delle vittime utilizzando una variante di NodeStealer. Questo è quanto emergerebbe dall’analisi di Netskope Threat Labs, secondo cui il vettore iniziale sarebbero i file .RAR ospitati sulla stessa CDN (Content Delivery Network) di Facebook e inviati come allegati ai messaggi di Facebook.

Fonte Netskope

Gli archivi conterrebbero uno script batch (offuscato usando la codifica di caratteri UTF-16 per mostrare caratteri incoerenti) che se eseguito aprirebbe il browser Web Chrome solo per mostrare alla vittima una pagina Web benigna mentre in background, viene eseguito PowerShell per recuperare tramite “Invoke-WebRequest” ulteriori payload, tra cui l’interprete Python e il malware NodeStealer.

Fonte Netskope

Lo stealer, oltre a catturare credenziali e cookie da vari browser Web (Microsoft Edge, Brave, Opera, Cốc Cốc, Opera e Firefox), è progettato per raccogliere metadati di sistema ed esfiltrare le informazioni via api Telegram.

Fonte Netskope

Questa campagna potrebbe rappresentare la porta per un attacco più mirato in un secondo momento poiché hanno già raccolto informazioni utili. Gli aggressori che hanno rubato i cookie e le credenziali di Facebook possono utilizzarli per impossessarsi dell’account ed effettuare transazioni fraudolente sfruttando la pagina aziendale legittima“, conclude Jan Michael, ricercatore di Netskope Threat Labs.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.