NodeStealer, la variante 2.0 assume il controllo completo degli account Facebook Business

I ricercatori dell’Unit42 di Palo Alto Network hanno recentemente scoperto una nuova campagna di phishing che distribuiva un infostealer attrezzato per assumere il controllo completo di account Facebook Business, usando come esca modelli di fogli di calcolo. 

Le varianti NodeStealer (Variant #1, Variant #2) distribuite in questa campagna sebbene condividerebbero molte somiglianze con la versione scritta in JavaScript rilevata e analizzata da Meta a luglio 2022, sarebbero state compilate in Python, con funzionalità aggiuntive: capacità di furto criptovaluta, di downloader e di assumere completamente il controllo degli account Facebook Business.

Ecco una comparazione tra le ultime varianti Python e quella JavaScript rilevata da Meta.

Comparazione delle varianti NodeStealer (Fonte Unit42)

Le nuove varianti Phyton

Gli attacchi inizierebbero con messaggi fasulli su Facebook che affermano di offrire modelli Microsoft Excel/Google per un presunto monitoraggio contabile, inducendo le vittime a scaricare un archivio .ZIP da Google Drive.

Fonte Unit42

Il file ZIP incorporerebbe al suo interno l’eseguibile stealer che, oltre a catturare le informazioni sull’account Facebook Business, scarica malware aggiuntivo (BitRAT, XWorm), disabilitando Microsoft Defender Antivirus e carpendo credenziali MetaMask dai browser Web Google Chrome, Cốc Cốc (uno degli indizi che spiegherebbe una sospetta connessione del malware NodeStealer con un attore vietnamita) e Brave. Tutti i download verrebbero eseguiti mediante la tecnica bypass UAC FodHelper per eseguire script PowerShell e recuperare i file .ZIP da un server remoto. Tutte le informazioni raccolte verrebbero infine esfiltrate tramite Telegram rimuovendo dopo ogni traccia dell’attività furtiva.

Esfiltrazione tramite Telegram (Fonte Unit42)

La seconda variante Python di NodeStealer rilevata dall’Unit42 (Variant #2) oltre al furto di credenziali implementerebbe anche funzionalità di anti-analisi, di controllo e-mail Microsoft Outlook Office365 e di rilevamento account Facebook associati.

Fonte Unit42

Prevenzione e formazione prima di tutto

Incoraggiamo tutte le organizzazioni a rivedere le proprie politiche di protezione e utilizzare gli indicatori di compromissione (IoC) forniti in questo rapporto per affrontare questa minaccia. I proprietari di account Facebook Businesse sono incoraggiati a utilizzare password complesse e abilitare l’autenticazione a più fattori.” – Conclude l’esperto di Unit42 Lior Rochberger “Prenditi il ​​tempo per fornire formazione alla tua organizzazione sulle tattiche di phishing, in particolare approcci moderni e mirati che mettono in risalto eventi attuali, esigenze aziendali e altri argomenti interessanti.“.

Anche se non ci siano prove che suggeriscano che le campagne siano ancora attive e bene tenere sempre alta la guardia.

Il tasso di rilevamento di alcuni campioni del malware risulta ancora basso (26/67).

https://www.virustotal.com/gui/file/4f91fdf024b54ad650c13f7ffe1a7f3eb6cad66eb457e8a7fe494cf9bdb6f42a

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.