Вредоносное ПО NodeStealer атакует рекламные аккаунты Facebook и собирает данные кредитных карт

Соответственно, в отчете, предоставленном The Hacker News, исследователь по кибербезопасности Ян Майкл Алькантара из Netskope Threat Labs заявил: «Они используют данные о бюджете в аккаунте Facebook Ads Manager жертвы, превращая их в отправную точку для развертывания вредоносных рекламных кампаний на платформе Facebook».

«Вредоносное ПО NodeStealer использует новые методы, включая использование диспетчера перезагрузки Windows для разблокировки файлов базы данных браузера, внедрение ненужного кода для усложнения анализа и использование пакетных скриптов для динамического создания и выполнения скриптов Python», — добавил Ян Майкл Алькантара.

NodeStealer был впервые публично описан компанией Meta в мае 2023 года. Изначально он представлял собой вредоносное ПО на основе JavaScript. Однако с тех пор он превратился в инструмент для кражи данных, написанный на Python и способный собирать информацию об аккаунтах Facebook, тем самым облегчая их захват.

Предполагается, что вредоносное ПО было разработано вьетнамскими киберпреступными группировками, которые использовали различные вредоносные программы, в первую очередь нацеленные на рекламные аккаунты Facebook и корпоративные аккаунты для другой вредоносной деятельности.

Кроме того, было обнаружено, что некоторые варианты NodeStealer используют программу Windows Restart Manager, легальный инструмент операционной системы Windows, для разблокировки файлов базы данных SQLite, которые могут использоваться другими процессами.

Целью этого действия является доступ к конфиденциальным данным, таким как данные кредитных карт, из различных веб-браузеров и их использование. Использование диспетчера перезапуска Windows в качестве инструмента для обхода мер защиты файлов позволяет этому вредоносному ПО собирать данные более изощрённым и труднообнаружимым способом.

Вредоносная реклама в Facebook — высокоэффективный канал заражения, часто использующий репутацию известных брендов для распространения вредоносного ПО в различных формах. Это подтверждается новой кампанией, начавшейся 3 ноября 2024 года, в которой злоумышленники выдавали себя за менеджер паролей Bitwarden.

С помощью спонсируемой рекламы на Facebook мошенники убеждают пользователей установить поддельное расширение для Google Chrome, которое обманным путём вынуждает жертв устанавливать вредоносное ПО на свои устройства. Эта кампания не только направлена ​​на обман пользователей, но и использует платформу Facebook для широкого и эффективного распространения вредоносного ПО.

В отчете, опубликованном 17 ноября, компания Bitdefender, занимающаяся кибербезопасностью, заявила: «Эта вредоносная программа собирает персональные данные и атакует корпоративные аккаунты на Facebook, потенциально нанося серьезный финансовый ущерб как частным лицам, так и компаниям».

Компания, занимающаяся безопасностью, также отметила, что кампания в очередной раз демонстрирует, как злоумышленники используют надежные платформы, такие как Facebook, для обмана пользователей, заставляя их непреднамеренно ослаблять собственные меры безопасности.