Malware NodeStealer tem como alvo anúncios do Facebook e roubando dados de cartão de crédito

Os caçadores de ameaças estão alertando sobre uma versão atualizada do NodeStealer baseado em Python que agora está equipado para extrair mais informações das contas do Gerenciador de Anúncios do Facebook das vítimas e coletar dados de cartão de crédito armazenados em navegadores da web.

“Eles coletam detalhes do orçamento das contas do Gerenciador de Anúncios do Facebook de suas vítimas, o que pode ser uma porta de entrada para malvertisement do Facebook”, disse o pesquisador do Netskope Threat Labs, Jan Michael Alcantara, em um relatório compartilhado com o The Hacker News.

“Novas técnicas usadas pelo NodeStealer incluem usar o Windows Restart Manager para desbloquear arquivos de banco de dados do navegador, adicionar código inútil e usar um script em lote para gerar e executar dinamicamente o script Python.”

O NodeStealer , documentado publicamente pela primeira vez pelo Meta em maio de 2023, começou como um malware JavaScript antes de evoluir para um ladrão Python capaz de coletar dados relacionados a contas do Facebook para facilitar sua aquisição.

Acredita-se que ele tenha sido desenvolvido por agentes de ameaças vietnamitas, que têm um histórico de alavancar diversas famílias de malware centradas no sequestro de anúncios do Facebook e contas comerciais para alimentar outras atividades maliciosas.

A análise mais recente da Netskope mostra que os artefatos do NodeStealer começaram a ter como alvo contas do Facebook Ads Manager, usadas para gerenciar campanhas de anúncios no Facebook e no Instagram, além de atingir contas comerciais do Facebook.

Ao fazer isso, suspeita-se que a intenção dos invasores não seja apenas assumir o controle das contas do Facebook, mas também usá-las como armas em campanhas de malvertising que propaguem ainda mais o malware sob o disfarce de software ou jogos populares.

“Recentemente, encontramos vários exemplos de Python NodeStealer que coletam detalhes do orçamento da conta usando a API do Facebook Graph”, explicou Michael Alcantara. “Os exemplos inicialmente geram um token de acesso ao fazer login em adsmanager.facebook[.]com usando cookies coletados na máquina da vítima.”

Além de coletar tokens e informações comerciais vinculadas a essas contas, o malware inclui uma verificação explicitamente projetada para evitar infectar máquinas localizadas no Vietnã como forma de escapar de ações policiais, solidificando ainda mais suas origens.

Além disso, foi descoberto que certas amostras do NodeStealer usam o legítimo Windows Restart Manager para desbloquear arquivos de banco de dados SQLite que possivelmente estão sendo usados ​​por outros processos. Isso é feito em uma tentativa de desviar dados de cartão de crédito de vários navegadores da web.

A exfiltração de dados é feita usando o Telegram, ressaltando que a plataforma de mensagens continua sendo um vetor crucial para criminosos cibernéticos, apesar das mudanças recentes em sua política.

Malvertising via Facebook é um caminho de infecção lucrativo, muitas vezes personificando marcas confiáveis ​​para disseminar todos os tipos de malware. Isso é evidenciado pelo surgimento de uma nova campanha a partir de 3 de novembro de 2024, que imitou o software gerenciador de senhas Bitwarden por meio de anúncios patrocinados pelo Facebook para instalar uma extensão desonesta do Google Chrome.

“O malware coleta dados pessoais e tem como alvo contas comerciais do Facebook, potencialmente levando a perdas financeiras para indivíduos e empresas”, disse a Bitdefender em um relatório publicado na segunda-feira. “Mais uma vez, esta campanha destaca como os agentes de ameaças exploram plataformas confiáveis ​​como o Facebook para atrair usuários a comprometer sua própria segurança.”

E-mails de phishing distribuem I2Parcae RAT via técnica ClickFix#

O desenvolvimento ocorre no momento em que a Cofense alerta sobre novas campanhas de phishing que empregam formulários de contato de sites e iscas com temas de faturas para entregar famílias de malware como I2Parcae RAT e PythonRatLoader , respectivamente, com este último atuando como um canal para implantar AsyncRAT, DCRat e Venom RAT.

O I2Parcae é “notável por ter várias táticas, técnicas e procedimentos (TTPs) exclusivos, como evasão do Secure Email Gateway (SEG) por meio de proxy de e-mails por meio de infraestrutura legítima, CAPTCHAs falsos, abuso de funcionalidades codificadas do Windows para ocultar arquivos descartados e recursos C2 no Invisible Internet Project (I2P), uma rede anônima ponto a ponto com criptografia de ponta a ponta”, disse o pesquisador Kahng An da Cofense .

“Quando infectado, o I2Parcae é capaz de desabilitar o Windows Defender, enumerar o Windows Security Accounts Manager (SAM) para contas/grupos, roubar cookies do navegador e acesso remoto a hosts infectados.”

As cadeias de ataque envolvem a propagação de links pornográficos com armadilhas em mensagens de e-mail que, ao serem clicados, levam os destinatários da mensagem a uma página intermediária de verificação de CAPTCHA falsa, que incita as vítimas a copiar e executar um script PowerShell codificado para acessar o conteúdo, uma técnica que foi chamada de ClickFix.

O ClickFix, nos últimos meses, se tornou um truque popular de engenharia social para atrair usuários desavisados ​​a baixar malware sob o pretexto de resolver um suposto erro ou concluir uma verificação reCAPTCHA. Ele também é eficaz para contornar controles de segurança devido ao fato de que os usuários se infectam ao executar o código.

A empresa de segurança empresarial Proofpoint disse que a técnica ClickFix está sendo usada por vários agentes de ameaças “não atribuídos” para entregar uma série de trojans de acesso remoto, ladrões e até mesmo frameworks de pós-exploração, como Brute Ratel C4. Ela foi até mesmo adotada por supostos agentes de espionagem russos para violar entidades governamentais ucranianas.

“Atores de ameaças foram observados recentemente usando uma técnica ClickFix falsa com tema CAPTCHA que finge validar o usuário com uma verificação ‘Verify You Are Human’ (CAPTCHA)”, disseram os pesquisadores de segurança Tommy Madjar e Selena Larson . “Grande parte da atividade é baseada em um kit de ferramentas de código aberto chamado reCAPTCHA Phish disponível no GitHub para ‘fins educacionais’.”

“O que é insidioso sobre essa técnica é que os adversários estão se aproveitando do desejo inato das pessoas de serem úteis e independentes. Ao fornecer o que parece ser um problema e uma solução, as pessoas se sentem capacitadas para ‘consertar’ o problema elas mesmas sem precisar alertar sua equipe de TI ou qualquer outra pessoa, e isso ignora as proteções de segurança ao fazer com que a pessoa se infecte.”

As divulgações também coincidem com um aumento nos ataques de phishing que usam solicitações falsas do Docusign para contornar a detecção e, por fim, conduzir fraudes financeiras.

“Esses ataques representam uma ameaça dupla para contratantes e fornecedores – perda financeira imediata e potencial interrupção de negócios”, disse SlashNext . “Quando um documento fraudulento é assinado, ele pode desencadear pagamentos não autorizados, ao mesmo tempo em que cria confusão sobre o status real do licenciamento. Essa incerteza pode levar a atrasos na licitação de novos projetos ou na manutenção de contratos atuais.”

Fonte: thehackernews.com