Вредоносное ПО NodeStealer атакует рекламные аккаунты Facebook и собирает данные кредитных карт
Эксперты по кибербезопасности предупредили об обновленной версии вредоносного ПО NodeStealer, которое атакует рекламные аккаунты жертв в Facebook и собирает данные кредитных карт, хранящиеся в веб-браузерах.
Соответственно, в отчете, предоставленном The Hacker News, исследователь по кибербезопасности Ян Майкл Алькантара из Netskope Threat Labs заявил: «Они используют данные о бюджете в аккаунте Facebook Ads Manager жертвы, превращая их в отправную точку для развертывания вредоносных рекламных кампаний на платформе Facebook».
«Вредоносное ПО NodeStealer использует новые методы, включая использование диспетчера перезапуска Windows для разблокировки файлов базы данных браузера, внедрение ненужного кода для усложнения анализа и использование пакетных скриптов для динамического создания и выполнения скриптов Python», — добавил Ян Майкл Алькантара.
.jpg)
NodeStealer был впервые публично описан компанией Meta в мае 2023 года. Изначально он представлял собой вредоносное ПО на основе JavaScript. Однако с тех пор он превратился в инструмент для кражи данных, написанный на Python и способный собирать информацию об аккаунтах Facebook, тем самым облегчая их захват.
Предполагается, что вредоносное ПО было разработано вьетнамскими киберпреступными группировками, которые использовали различные вредоносные программы, в первую очередь нацеленные на рекламные аккаунты Facebook и корпоративные аккаунты для другой вредоносной деятельности.
Кроме того, было обнаружено, что некоторые варианты NodeStealer используют программу Windows Restart Manager, легальный инструмент операционной системы Windows, для разблокировки файлов базы данных SQLite, которые могут использоваться другими процессами.
Целью этого действия является доступ к конфиденциальным данным, таким как данные кредитных карт, из различных веб-браузеров и их использование. Использование диспетчера перезапуска Windows в качестве инструмента для обхода мер защиты файлов делает эту вредоносную программу более сложной и затрудняет её обнаружение при сборе данных.
Вредоносная реклама в Facebook — высокоэффективный канал заражения, часто использующий репутацию известных брендов для распространения вредоносного ПО в различных формах. Это подтверждается новой кампанией, начавшейся 3 ноября 2024 года, в которой злоумышленники выдавали себя за менеджер паролей Bitwarden.
С помощью спонсируемой рекламы на Facebook мошенники убеждают пользователей установить поддельное расширение для Google Chrome, чтобы обмануть жертв и установить вредоносное ПО на их устройства. Эта кампания не только направлена на обман пользователей, но и использует платформу Facebook для широкого и эффективного распространения вредоносного ПО.
В отчете, опубликованном 17 ноября, компания Bitdefender, занимающаяся кибербезопасностью, заявила: «Эта вредоносная программа собирает персональные данные и атакует корпоративные аккаунты в Facebook, потенциально нанося серьезный финансовый ущерб как частным лицам, так и компаниям».
Компания, занимающаяся безопасностью, также отметила, что кампания в очередной раз подчеркивает, как злоумышленники используют авторитетные платформы, такие как Facebook, для обмана пользователей, заставляя их невольно ослаблять собственные меры безопасности.
