Cea mai recentă campanie NodeStealer descoperită de specialiștii în securitate informatică de la Bitdefender este o versiune îmbunătățită, la care infractorii cibernetici au adăugat noi funcții care le permit să obțină acces fraudulos pe platforme suplimentare (Gmail și Outlook) pentru a fura portofele cripto și a instala amenințări informatice. NodeStealer este o amenințare informatică relativ nouă, descoperită de echipa de securitate din cadrul Meta în ianuarie 2023, care permite atacatorilor să fure cookie-uri din browser și să preia controlul asupra conturilor Facebook Business, fără a fi necesare alte interacțiuni cu victima, ocolind chiar și mecanismele de securitate, precum autentificarea în doi pași.
Iată principalele descoperiri ale cercetării efectuate în octombrie 2023 de către cercetătorii Bitdefender:
- Reclamele distribuie o versiune mai nouă a amenințării informatice NodeStealer.
- Specialiștii Bitdefender au descoperit că există cel puțin zece conturi de Facebook compromise aparținând unor companii, care continuă să distribuie publicului reclame periculoase.
- Mai multe iterații ale aceluiași anunț au fost folosite în aproximativ 140 de campanii publicitare periculoase.
- Atacatorii au folosit simultan cel mult cinci reclame active pe care le-au alternat constant pentru a încerca să evite raportările utilizatorilor.
- Reclamele au afișat fotografii cu femei tinere în ipostaze provocatoare ca să atragă victimele să descarce amenințări informatice.
- Amenințarea este distribuită prin fișiere executabile Windows disimulate în albume foto.
- Circa 100.000 de potențiale descărcări sunt estimate de către cercetătorii BItdefender, un singur anunț având până la 15.000 de accesări în doar 24 de ore.
- Cel mai vizat segment îl reprezintă bărbații de peste 45 de ani.
Cum funcționează campania
Pentru a obține acces la conturile utilizatorilor, infractorii cibernetici folosesc bugetele alocate reclamelor pe conturile de Facebook Business deja compromise și distribuie reclame către publicul-țintă selectat. Atacatorii creează o pagină de Facebook sub numele „Actualizare album” unde adaugă fotografii cu femei tinere în ipostaze provocatoare și folosesc descrieri scurte pentru a-i atrage pe utilizatori să descarce arhiva media: „Vizionați acum înainte de a fi șterse”. Albumele redirecționează utilizatorii către Bitbucket sau Gitlab care stochează o arhivă ce conține un executabil Windows prin care sunt instalate versiuni mai noi ale amenințări NodeStealer pe dispozitivele utilizatorilor. Odată ce infractorii cibernetici obțin acces la cookie-urile utilizatorilor folosind funcțiile de bază ale NodeStealer, ei preiau conturile de Facebook și accesează informații sensibile.
Recomandări pentru utilizatori
- Instalați și mențineți actualizată o soluție de securitate informatică pentru a vă apăra împotriva atacurilor lansate prin linkuri de phishing, fișiere atașate sau reclame.
- Rămâneți mereu vigilenți în interacțiunile online și fiți precauți atunci când primiți linkuri nesolicitate asociate cu anunțuri alarmante care vă solicită să descărcați urgent fișiere.
- Evitați reclamele care îndeamnă la descărcarea albumelor foto din Bitbucket, Gitlab sau Dropbox.
Cercetarea completă e disponibilă aici: https://www.bitdefender.com/blog/labs/nodestealer-attacks-on-facebook-take-a-provocative-turn-threat-actors-deploy-malvertising-campaigns-to-hijack-users-accounts/