Piattaforme di social media, spesso visti come arene di connessione ed espressione, sono diventati terreno fertile per autori di minacce motivati dal punto di vista finanziario che orchestrano attacchi su larga scala.
Bitdefender Labs è stato vigile nel monitorare una tendenza crescente in cui i criminali informatici sfruttano le reti di social media per malvertising, una sinistra combinazione di malware e pubblicità. L'obiettivo è chiaro: dirottare account e rubare dati personali attraverso l'implementazione di software dannoso. Il malware in questione è noto come NodeStealer.
Uno sguardo agli attacchi NodeStealer
NodeStealer è un ladro di informazioni relativamente nuovo ma potente, progettato per sfruttare la rete pubblicitaria di Meta su Facebook, rappresentando una minaccia diretta alla privacy e alla sicurezza degli utenti. L'analisi di Bitdefender, condotta da ottobre 10 a 20, scopre una sofisticata campagna che sfrutta gli account aziendali compromessi, pubblicare annunci dannosi al pubblico.
Secondo la ricerca originaria, ecco i risultati principali:
- Almeno 10 gli account aziendali compromessi pubblicano attivamente annunci dannosi.
- Gli annunci distribuiscono una versione più recente di NodeStealer.
- Profili Facebook multipli, con immagini seducenti di donne, sono creati da autori di minacce.
- Circa 140 le campagne pubblicitarie dannose utilizzano più iterazioni dello stesso annuncio.
- Gli attaccanti ruotano strategicamente tra un massimo di 5 annunci attivi ogni 24 ore per eludere le segnalazioni degli utenti.
- Facendo clic su questi annunci viene avviato il download di un archivio dannoso, contenente un ingannevole “.exeAlbum fotografico” file, portando alla distribuzione di un secondo eseguibile in .NET. Questo payload secondario è progettato per rubare cookie e password del browser.
- L'analisi stima un potenziale 100,000 download in base alla copertura dell'annuncio, con fino a 15,000 download per un singolo annuncio nell'arco di 24 ore.
- La fascia demografica più colpita è quella dei maschi anziani 45 e al di sopra.
Le informazioni demografiche e sulla copertura di questa campagna sono state raccolte monitorando gli annunci sulla Meta Ad Library.
NodeStealer, scoperto inizialmente dal team di sicurezza di Meta a gennaio 2023, funziona come un ladro di informazioni in grado di dirottare i cookie del browser ed eseguire furti di account su larga scala.
NodeStealer 2.1 Aggiunge nuove funzionalità
La saga in evoluzione degli sforzi dannosi di NodeStealer su Facebook si svolge, con gli autori delle minacce che utilizzano metodi innovativi, compreso lo sfruttamento di account aziendali compromessi per prendere di mira gli utenti regolari.
Questa versione modernizzata (NodeStealer 2.1) vanta nuove caratteristiche che estendono la sua portata a piattaforme aggiuntive come Gmail e Outlook, con l'obiettivo di rubare i saldi del portafoglio crittografico e liberare ulteriori payload dannosi.
Le immagini visualizzate all'interno di questi annunci, apparentemente innocente a prima vista, nascondere una minaccia dannosa. Un esame più attento rivela immagini manipolate ad arte o addirittura generate artificialmente progettate per sfruttare la curiosità umana. Sfruttare la psicologia dell’anticipazione, gli aggressori utilizzano descrizioni concise ma seducenti, invitando gli utenti con messaggi come “Novità sono online oggi” e “Guardalo ora prima che venga eliminato.”
All'insaputa dell'utente, quello apparentemente innocuo “Album” pubblicizzati in queste campagne fungono da gateway per repository su piattaforme come Bitbucket e Gitlab. Nascosto all'interno di questi repository si trova un payload dannoso: un eseguibile di Windows pronto a scatenare l'insidioso NodeStealer sul dispositivo dell'ignaro utente. Questa infiltrazione furtiva segna un’evoluzione inquietante nelle minacce informatiche, sfruttando contenuti allettanti come un cavallo di Troia per intenti più insidiosi.
Un aspetto agghiacciante di questi attacchi orchestrati è l'uso calcolato dello strumento Gestione annunci di Meta. Le campagne si concentrano strategicamente sugli utenti maschi invecchiati 18 a 65 su Facebook, abbracciando i continenti dell’Europa, Africa, e i Caraibi. La precisione del targeting amplifica la minaccia, dimostrando una profonda comprensione del panorama dei social media e delle vulnerabilità di uno specifico gruppo demografico.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: