NodeStealer kampány

Editors' Pick
Geronimo

A Netskope Threat Labs nemrégiben egy új, Python alapú NodeStealer kampányt azonosított, amelynek célja a Facebook üzleti fiókok kompromittálása. Ez a kampány különösen veszélyes, mivel nemcsak a Facebook hitelesítő adatokat célozza, hanem a böngészőkben tárolt összes sütit és bejelentkezési adatot is ellopja.

Terjesztési módszer:

A támadók hamis Facebook üzeneteket küldenek, amelyekhez rosszindulatú fájlokat csatolnak. Ezek az üzenetek gyakran hibás termékek képeit tartalmazzák, hogy rávegyék a Facebook üzleti oldalak tulajdonosait vagy adminisztrátorait a melléklet letöltésére. A korábbi NodeStealer kampányoktól eltérően ez a változat batch fájlokat használ a kezdeti terheléshez, nem pedig futtatható fájlokat.

Működési mechanizmus:

  1. Batch fájl futtatása: A felhasználó letölti és futtatja a batch fájlt, amely megnyit egy Chrome böngészőt, hogy egy ártalmatlan oldalt jelenítsen meg, ezzel elterelve a gyanút.
  2. Háttértevékenység: Eközben a batch fájl PowerShell segítségével több fájlt tölt le egy rosszindulatú domainről, beleértve egy Python értelmezőt és a rosszindulatú kódot tartalmazó fájlokat.
  3. Perzisztencia biztosítása: A letöltött fájlok között található egy másik batch fájl, amelyet a rendszer indítási mappájába másolnak, biztosítva a rosszindulatú kód folyamatos futását.
  4. Adatgyűjtés: A Python alapú NodeStealer begyűjti a felhasználó IP-címét és országkódját, majd különböző böngészőkből (például Chrome, Edge, Brave, Opera, Firefox) összegyűjti a bejelentkezési adatokat és sütiket.
  5. Adatok exfiltrálása: A begyűjtött adatokat Telegramon keresztül továbbítják a támadóknak, majd a rosszindulatú kód eltávolítja a nyomait a rendszerből.

FORRÁS