Una campagna in corso sta prendendo di mira gli account Facebook Business con falsi messaggi allo scopo di raccogliere le credenziali delle vittime utilizzando una variante di NodeStealer. Questo è quanto emergerebbe dall’analisi di Netskope Threat Labs, secondo cui il vettore iniziale sarebbero i file .RAR ospitati sulla stessa CDN (Content Delivery Network) di Facebook e inviati come allegati ai messaggi di Facebook.
Gli archivi conterrebbero uno script batch (offuscato usando la codifica di caratteri UTF-16 per mostrare caratteri incoerenti) che se eseguito aprirebbe il browser Web Chrome solo per mostrare alla vittima una pagina Web benigna mentre in background, viene eseguito PowerShell per recuperare tramite “Invoke-WebRequest” ulteriori payload, tra cui l’interprete Python e il malware NodeStealer.
Lo stealer, oltre a catturare credenziali e cookie da vari browser Web (Microsoft Edge, Brave, Opera, Cốc Cốc, Opera e Firefox), è progettato per raccogliere metadati di sistema ed esfiltrare le informazioni via api Telegram.
“Questa campagna potrebbe rappresentare la porta per un attacco più mirato in un secondo momento poiché hanno già raccolto informazioni utili. Gli aggressori che hanno rubato i cookie e le credenziali di Facebook possono utilizzarli per impossessarsi dell’account ed effettuare transazioni fraudolente sfruttando la pagina aziendale legittima“, conclude Jan Michael, ricercatore di Netskope Threat Labs.