NodeStealer Malware retter sig mod Facebook-konti med Malvertising

Sociale medieplatforme, ofte set som arenaer for forbindelse og udtryk, er blevet grobund for økonomisk motiverede trusselsaktører, der orkestrerer storstilede angreb.

Bitdefender Labs har været på vagt med at overvåge en voksende tendens, hvor cyberkriminelle udnytter sociale medienetværk til malvertising, en uhyggelig kombination af malware og reklame. Målet er klart: kapre konti og stjæle personlige data gennem implementering af skadelig software. Den pågældende malware er kendt som NodeStealer.

Et kig på NodeStealer-angreb

NodeStealer er en relativt ny, men potent info-stealer, designet til at udnytte Metas annoncenetværk på Facebook, udgør en direkte trussel mod brugernes privatliv og sikkerhed. Bitdefender-analysen, gennemført fra oktober 10 til 20, afslører en sofistikeret kampagne, der udnytter kompromitterede virksomhedskonti, levering af ondsindede annoncer til offentligheden.

Ifølge den oprindelige forskning, her er de vigtigste resultater:

• I det mindste 10 kompromitterede virksomhedskonti viser aktivt ondsindede annoncer.
• Annoncerne implementerer en nyere version af NodeStealer.
• Flere Facebook-profiler, med dragende billeder af kvinder, er skabt af trusselsaktører.
• Ca. 140 ondsindede annoncekampagner bruger flere gentagelser af den samme annonce.
• Angribere roterer strategisk mellem et maksimum på 5 aktive annoncer hver 24 timer for at undgå brugerrapporter.
• Ved at klikke på disse annoncer starter download af et ondsindet arkiv, indeholdende en vildledende “.exe fotoalbum” fil, fører til udrulningen af en anden eksekverbar fil i .NET. Denne sekundære nyttelast er designet til at stjæle browsercookies og adgangskoder.
• Analysen estimerer et potentiale 100,000 downloads baseret på annoncens rækkevidde, med op til 15,000 downloads for en enkelt annonce inden for et tidsrum på 24 timer.
• Den mest berørte demografiske er mænd i alderen 45 og over.

Denne kampagnes demografiske oplysninger og rækkevidde er blevet indsamlet ved at spore annoncerne på Meta Ad Library.
NodeStealer, oprindeligt opdaget af Metas sikkerhedsteam i januar 2023, fungerer som en info-tyver, der er i stand til at kapre browsercookies og udføre kontoovertagelser i stor skala.

NodeStealer 2.1 Tilføjer nye funktioner

Den udviklende saga om NodeStealers ondsindede bestræbelser på Facebook udfolder sig, med trusselsaktører, der anvender innovative metoder, herunder udnyttelse af kompromitterede virksomhedskonti til at målrette mod almindelige brugere.

Denne moderniserede version (NodeStealer 2.1) praler nye funktioner der udvider rækkevidden til yderligere platforme som Gmail og Outlook, sigter på stjæle crypto wallet-saldi og frigive yderligere ondsindede nyttelaster.

De visuelle elementer, der vises i disse annoncer, tilsyneladende uskyldig ved første øjekast, skjule en ondsindet trussel. En nærmere inspektion afslører kunstfærdigt manipulerede eller endda kunstigt genererede billeder designet til at udnytte menneskelig nysgerrighed. Udnyttelse af forventningens psykologi, angribere anvender kortfattede, men alligevel lokkende beskrivelser, vinker brugere med beskeder som “Nye ting er online i dag” og “Se nu, før den slettes.”

Uvidende af brugeren, det tilsyneladende uskyldige “Albums” annonceret i disse kampagner fungerer som gateways til repositories på platforme som Bitbucket og Gitlab. Skjult i disse lagre ligger en ondsindet nyttelast – en Windows-eksekverbar fil, der er klar til at frigive den lumske NodeStealer på den intetanende brugers enhed. Denne snigende infiltration markerer en foruroligende udvikling i cybertrusler, udnytte lokkende indhold som en trojansk hest til mere lumske hensigter.

Et skræmmende aspekt af disse orkestrerede angreb er den beregnede brug af Metas Ads Manager-værktøj. Kampagnerne fokuserer strategisk på mandlige brugere i alderen 18 til 65 på tværs af Facebook, spænder over Europas kontinenter, Afrika, og Caribien. Præcisionen af målretningen forstærker truslen, demonstrere en stor forståelse for det sociale medielandskab og sårbarhederne i en specifik demografi.