Le malware NodeStealer cible les comptes publicitaires Facebook et collecte les données de cartes de crédit.
Des experts en cybersécurité ont mis en garde contre une version mise à jour du malware NodeStealer qui cible les comptes publicitaires Facebook des victimes et collecte les données de carte de crédit stockées dans les navigateurs Web.
En conséquence, dans un rapport partagé avec The Hacker News, le chercheur en cybersécurité Jan Michael Alcantara de Netskope Threat Labs a déclaré : « Ils exploitent les détails du budget dans le compte Facebook Ads Manager de la victime, transformant cela en un point de départ pour déployer des campagnes publicitaires malveillantes sur la plateforme Facebook. »
« Le malware NodeStealer a déployé de nouvelles techniques, notamment l'utilisation du gestionnaire de redémarrage de Windows pour déverrouiller les fichiers de base de données du navigateur, l'injection de code indésirable pour compliquer l'analyse et l'utilisation de scripts par lots pour créer et exécuter dynamiquement des scripts Python », a ajouté Jan Michael Alcantara.
.jpg)
NodeStealer a été documenté publiquement pour la première fois par Meta en mai 2023, initialement comme un malware JavaScript. Cependant, il a depuis évolué vers un outil de vol de données écrit en Python, capable de collecter des informations relatives aux comptes Facebook, facilitant ainsi les piratages de comptes.
On pense que le logiciel malveillant a été développé par des groupes de cybercriminels vietnamiens qui ont utilisé une variété de logiciels malveillants, ciblant principalement les comptes publicitaires Facebook et les comptes professionnels pour d'autres activités malveillantes.
De plus, certaines variantes de NodeStealer ont été découvertes en train d'utiliser le programme Windows Restart Manager, un outil légitime du système d'exploitation Windows, pour déverrouiller les fichiers de base de données SQLite qui peuvent être utilisés par d'autres processus.
L'objectif de cette action est d'accéder à des données sensibles, telles que les informations de carte de crédit, et de les exploiter depuis différents navigateurs web. L'utilisation du Gestionnaire de redémarrage de Windows comme outil pour contourner les mesures de protection des fichiers permet à ce logiciel malveillant de collecter des données de manière plus sophistiquée et plus difficile à détecter.
Les publicités Facebook malveillantes constituent un canal d'infection très efficace, exploitant souvent la crédibilité de marques connues pour diffuser des logiciels malveillants sous diverses formes. En témoigne une nouvelle campagne, lancée le 3 novembre 2024, au cours de laquelle des attaquants se sont fait passer pour le gestionnaire de mots de passe Bitwarden.
Grâce à des publicités sponsorisées sur Facebook, ils incitent les utilisateurs à installer une fausse extension Google Chrome, qui incite les victimes à installer des logiciels malveillants sur leurs systèmes. Cette campagne vise non seulement à tromper les utilisateurs, mais exploite également la plateforme Facebook pour diffuser massivement et efficacement des logiciels malveillants.
Dans un rapport publié le 17 novembre, la société de cybersécurité Bitdefender a déclaré : « Ce malware collecte des informations personnelles et cible les comptes professionnels sur Facebook, causant potentiellement de graves dommages financiers aux particuliers et aux entreprises. »
L'entreprise de sécurité a également noté que la campagne met une fois de plus en évidence la manière dont les acteurs malveillants exploitent des plateformes de confiance comme Facebook pour arnaquer les utilisateurs, les amenant ainsi à affaiblir par inadvertance leurs propres mesures de sécurité.