Le logiciel malveillant NodeStealer cible les comptes publicitaires Facebook et collecte les données de cartes de crédit.
Des experts en cybersécurité ont mis en garde contre une version mise à jour du logiciel malveillant NodeStealer qui cible les comptes publicitaires Facebook des victimes et collecte les données de cartes de crédit stockées dans les navigateurs Web.
Dans un rapport partagé avec The Hacker News, Jan Michael Alcantara, chercheur en cybersécurité chez Netskope Threat Labs, a déclaré : « Ils exploitent les détails budgétaires du compte Facebook Ads Manager de la victime, utilisant cela comme point de départ pour déployer des campagnes publicitaires malveillantes sur la plateforme Facebook. »
« Le logiciel malveillant NodeStealer a déployé de nouvelles techniques, notamment l'utilisation du Gestionnaire de redémarrage de Windows pour déverrouiller les fichiers de base de données du navigateur, l'injection de code indésirable pour compliquer l'analyse et l'utilisation de scripts par lots pour créer et exécuter dynamiquement des scripts Python », a ajouté Jan Michael Alcantara.
.jpg)
NodeStealer a été documenté publiquement pour la première fois par Meta en mai 2023, initialement comme un logiciel malveillant basé sur JavaScript. Cependant, il a depuis évolué pour devenir un outil de vol de données écrit en Python, capable de collecter des informations relatives aux comptes Facebook, facilitant ainsi leur prise de contrôle.
On pense que ce logiciel malveillant a été développé par des groupes de cybercriminels vietnamiens qui utilisent divers types de logiciels malveillants, ciblant principalement les comptes publicitaires Facebook et les comptes professionnels pour d'autres activités malveillantes.
De plus, il a été constaté que certaines variantes de NodeStealer utilisent le programme Gestionnaire de redémarrage de Windows, un outil légitime du système d'exploitation Windows, pour déverrouiller des fichiers de base de données SQLite susceptibles d'être utilisés par d'autres processus.
Cette action vise à accéder à des données sensibles, telles que les informations de cartes bancaires, et à les exploiter depuis différents navigateurs web. L'utilisation du Gestionnaire de redémarrage de Windows pour contourner les mesures de protection des fichiers rend ce logiciel malveillant plus sophistiqué et plus difficile à détecter lors de la collecte de données.
Les publicités Facebook malveillantes constituent un vecteur d'infection très efficace, exploitant souvent la crédibilité de marques connues pour diffuser des logiciels malveillants sous diverses formes. Une nouvelle campagne, lancée le 3 novembre 2024, en est un exemple flagrant : des pirates ont usurpé l'identité du gestionnaire de mots de passe Bitwarden.
Grâce à des publicités sponsorisées sur Facebook, ils incitent les utilisateurs à installer une fausse extension pour Google Chrome, afin de tromper leurs victimes et d'installer un logiciel malveillant sur leurs systèmes. Cette campagne vise non seulement à duper les utilisateurs, mais aussi à exploiter la plateforme Facebook pour diffuser largement et efficacement des logiciels malveillants.
Dans un rapport publié le 17 novembre, la société de cybersécurité Bitdefender a déclaré : « Ce logiciel malveillant collecte des informations personnelles et cible les comptes professionnels sur Facebook, ce qui peut causer de graves dommages financiers aux particuliers comme aux entreprises. »
La société de sécurité a également noté que cette campagne met une fois de plus en lumière la façon dont les acteurs malveillants exploitent des plateformes réputées comme Facebook pour escroquer les utilisateurs, les amenant ainsi à affaiblir involontairement leurs propres mesures de sécurité.
