NodeStealer Malware richt zich op Facebook-accounts met malvertising

Sociale mediaplatforms, vaak gezien als arena’s voor verbinding en expressie, zijn broedplaatsen geworden voor financieel gemotiveerde dreigingsactoren die grootschalige aanvallen orkestreren.

Bitdefender Labs is waakzaam geweest bij het monitoren van een groeiende trend waarvoor cybercriminelen sociale-medianetwerken exploiteren malvertising, een sinistere combinatie van malware en reclame. Het doel is duidelijk: accounts kapen en persoonlijke gegevens stelen via de inzet van kwaadaardige software. De malware in kwestie staat bekend als NodeStealer.

Een kijkje in NodeStealer-aanvallen

NodeStealer is een relatief nieuwe maar krachtige informatie-stealer, ontworpen om het advertentienetwerk van Meta op Facebook te exploiteren, die een directe bedreiging vormen voor de privacy en veiligheid van gebruikers. De Bitdefender-analyse, uitgevoerd vanaf oktober 10 aan 20, onthult een geavanceerde campagne die misbruik maakt van gecompromitteerde zakelijke accounts, het leveren van kwaadaardige advertenties aan het publiek.

Volgens het oorspronkelijke onderzoek, hier zijn de belangrijkste bevindingen:

• Minstens 10 Gecompromitteerde zakelijke accounts vertonen actief kwaadaardige advertenties.
• De advertenties implementeren een nieuwere versie van NodeStealer.
• Meerdere Facebook-profielen, met verleidelijke afbeeldingen van vrouwen, worden gecreëerd door dreigingsactoren.
• Ongeveer 140 kwaadaardige advertentiecampagnes maken gebruik van meerdere herhalingen van dezelfde advertentie.
• Aanvallers roteren strategisch tussen maximaal 5 actieve advertenties elke 24 uur om gebruikersrapporten te omzeilen.
• Als u op deze advertenties klikt, wordt het downloaden van een kwaadaardig archief gestart, die een bedrieglijke inhoud bevat “.exe-fotoalbum” bestand, wat leidde tot de implementatie van een tweede uitvoerbaar bestand in .NET. Deze secundaire payload is ontworpen om browsercookies en wachtwoorden te stelen.
• De analyse schat een potentieel in 100,000 downloads op basis van het advertentiebereik, met maximaal 15,000 downloads voor één advertentie binnen een periode van 24 uur.
• De meest getroffen demografische groep zijn oudere mannen 45 en hoger.

De demografische en bereikgegevens van deze campagne zijn verzameld door het volgen van de advertenties in de Meta Ad Library.
KnooppuntStealer, aanvankelijk ontdekt door het beveiligingsteam van Meta in januari 2023, werkt als een informatie-stealer die browsercookies kan kapen en op grote schaal accountovernames kan uitvoeren.

KnooppuntStealer 2.1 Voegt nieuwe functies toe

Het evoluerende verhaal van de kwaadaardige inspanningen van NodeStealer op Facebook ontvouwt zich, waarbij dreigingsactoren innovatieve methoden gebruiken, inclusief de exploitatie van gecompromitteerde zakelijke accounts om reguliere gebruikers te targeten.

Deze gemoderniseerde versie (KnooppuntStealer 2.1) pronkt nieuwe functies die zijn bereik uitbreiden naar extra platforms zoals Gmail en Outlook, doelen op crypto-portemonneesaldi stelen en ontketenen nog meer kwaadaardige ladingen.

De beelden die in deze advertenties worden weergegeven, schijnbaar onschuldig op het eerste gezicht, een kwaadaardige dreiging verbergen. Bij nadere inspectie komen kunstig gemanipuleerde of zelfs kunstmatig gegenereerde beelden aan het licht die zijn ontworpen om de menselijke nieuwsgierigheid te exploiteren. De psychologie van anticipatie benutten, aanvallers gebruiken beknopte maar aantrekkelijke beschrijvingen, gebruikers wenken met berichten als “Vandaag staan er nieuwe spullen online” en “Kijk nu voordat het wordt verwijderd.”

Zonder medeweten van de gebruiker, het ogenschijnlijk onschuldige “Albums” waarvoor in deze campagnes wordt geadverteerd, dienen als toegangspoort tot repositories op platforms als Bitbucket en Gitlab. Verborgen in deze opslagplaatsen ligt een kwaadaardige lading: een Windows-uitvoerbaar bestand dat klaar staat om de verraderlijke NodeStealer op het apparaat van de nietsvermoedende gebruiker te ontketenen. Deze heimelijke infiltratie markeert een verontrustende evolutie in cyberdreigingen, het benutten van verleidelijke inhoud als een Trojaans paard voor meer verraderlijke bedoelingen.

Een huiveringwekkend aspect van deze georkestreerde aanvallen is het berekende gebruik van Meta's Ads Manager-tool. De campagnes richten zich strategisch op mannelijke oudere gebruikers 18 aan 65 op Facebook, verspreid over de continenten van Europa, Afrika, en het Caribisch gebied. De precisie van het richten versterkt de dreiging, blijk geven van een scherp begrip van het sociale medialandschap en de kwetsbaarheden van een specifieke demografische groep.