NodeStealer恶意软件现在针对多个浏览器上的Facebook企业帐户

一项正在进行的活动针对的是带有虚假消息的Facebook Business帐户，以使用基于Python的NodeStealer的变体获取受害者的凭据，并可能接管他们的帐户进行后续恶意活动。

Netskope威胁实验室研究员Jan Michael在周四发布的一份分析报告中表示：“这些攻击主要针对南欧和北美不同领域的受害者，其中以制造服务和技术部门为首。”

NodeStealer最早由Meta于2023年5月记录，最初是一种JavaScript恶意软件，能够从Web浏览器窃取cookie和密码，从而危及Facebook，Gmail和Outlook帐户。

上个月，Palo Alto Networks Unit 42披露了 2022年12月使用Python版本的恶意软件发生的单独攻击波，其中选择的迭代也旨在进行加密货币盗窃。

Netskope的最新调查结果表明，此次行动背后的越南威胁行为者可能已经恢复了他们的攻击行动，更不用说采取其他对手在国外以相同目标开展行动所使用的战术了。

就在本周早些时候，Guardio Labs披露了如何通过Facebook Messenger从虚假和被劫持的个人账户僵尸网络发送欺诈性消息，以提供ZIP或RAR存档文件，将窃取者恶意软件发送给毫无戒心的收件人。

同样的做法也是NodeStealer入侵链分发Facebook内容分发网络（CDN）上托管的RAR文件的初始载体。

“有缺陷产品的图像被用作诱饵，以说服Facebook商业页面的所有者或管理员下载恶意软件有效载荷，”迈克尔解释说。

这些存档文件配有一个批处理脚本，当执行时，打开Chrome浏览器，并将受害者带到一个良性的网页。但在后台，会运行PowerShell命令来检索其他有效负载，包括Python解释器和NodeStealer恶意软件。

除了从各种Web浏览器中捕获凭据和Cookie（无论是否来自Facebook）之外，窃取者还旨在收集系统元数据并通过Telegram泄露信息。

“与早期的变种相比，新的NodeStealer变种使用批处理文件下载和运行Python脚本，并从多个浏览器和多个网站窃取凭据和cookie，”Michael说。

“这场运动可能是一个门户，以更有针对性的攻击后，因为他们已经收集了有用的信息。窃取Facebook cookie和凭据的攻击者可以使用它们来接管帐户，利用合法的业务页面进行欺诈性交易。“