Bedreigingsjagers waarschuwen voor een bijgewerkte versie van de op Python gebaseerde versie KnooppuntStealer dat nu is uitgerust om meer informatie uit de Facebook Ads Manager-accounts van slachtoffers te halen en creditcardgegevens te verzamelen die zijn opgeslagen in webbrowsers.
“Ze verzamelen budgetgegevens van Facebook Ads Manager-accounts van hun slachtoffers, wat een toegangspoort kan zijn voor Facebook-malvertisement”, zei Netskope Threat Labs-onderzoeker Jan Michael Alcantara in een rapport gedeeld met The Hacker News.
“Nieuwe technieken die door NodeStealer worden gebruikt, zijn onder meer het gebruik van Windows Restart Manager om browserdatabasebestanden te ontgrendelen, het toevoegen van junkcode en het gebruik van een batchscript om het Python-script dynamisch te genereren en uit te voeren.”
NodeStealer, voor het eerst publiekelijk gedocumenteerd door Meta in mei 2023, begon als JavaScript-malware voordat het zich ontwikkelde tot een Python-stealer die gegevens over Facebook-accounts kon verzamelen om de overname ervan te vergemakkelijken.
Er wordt aangenomen dat het is ontwikkeld door Vietnamese bedreigingsactoren, die een geschiedenis hebben van het benutten van verschillende malwarefamilies die zich richten op het kapen van Facebook-advertenties en zakelijke accounts om andere kwaadaardige activiteiten aan te wakkeren.
Uit de laatste analyse van Netskopke blijkt dat NodeStealer-artefacten zich beginnen te richten op Facebook Ads Manager-accounts die worden gebruikt om advertentiecampagnes op Facebook en Instagram te beheren, naast opvallende Facebook Business-accounts.
Het vermoeden bestaat dat de aanvallers hiermee niet alleen de controle over Facebook-accounts willen overnemen, maar deze ook willen bewapenen voor gebruik in malvertisingcampagnes die de malware verder verspreiden onder het mom van populaire software of games.
“We hebben onlangs verschillende Python NodeStealer-voorbeelden gevonden die budgetgegevens van het account verzamelen met behulp van de Facebook Graph API”, legt Michael Alcantara uit. “De voorbeelden genereren in eerste instantie een toegangstoken door in te loggen op adsmanager.facebook(.)com met behulp van cookies die op de machine van het slachtoffer zijn verzameld.”
Naast het verzamelen van tokens en bedrijfsgerelateerde informatie die aan deze accounts zijn gekoppeld, bevat de malware ook een controle die expliciet is ontworpen om te voorkomen dat machines in Vietnam worden geïnfecteerd als een manier om wetshandhavingsacties te omzeilen, waardoor de oorsprong ervan verder wordt versterkt.
Bovendien is gebleken dat bepaalde NodeStealer-voorbeelden de legitieme Windows Restart Manager gebruiken om SQLite-databasebestanden te ontgrendelen die mogelijk door andere processen worden gebruikt. Dit wordt gedaan in een poging creditcardgegevens uit verschillende webbrowsers over te hevelen.
Gegevensexfiltratie wordt bereikt met behulp van Telegram, wat onderstreept dat het berichtenplatform nog steeds een cruciale vector voor cybercriminelen blijft, ondanks recente wijzigingen in het beleid.
Malvertising via Facebook is een lucratieve infectieroute, waarbij vaak vertrouwde merken worden nagebootst om allerlei soorten malware te verspreiden. Dit blijkt uit de opkomst van een nieuwe campagne die op 3 november 2024 begint en die de Bitwarden-software voor wachtwoordbeheer heeft nagebootst via door Facebook gesponsorde advertenties om een frauduleuze Google Chrome-extensie te installeren.
“De malware verzamelt persoonlijke gegevens en richt zich op zakelijke Facebook-accounts, wat mogelijk kan leiden tot financiële verliezen voor individuen en bedrijven”, aldus Bitdefender in een maandag gepubliceerd rapport. “Deze campagne benadrukt opnieuw hoe bedreigingsactoren vertrouwde platforms zoals Facebook misbruiken om gebruikers ertoe te verleiden hun eigen veiligheid in gevaar te brengen.”
Phishing-e-mails verspreiden I2Parcae RAT via ClickFix-techniek
De ontwikkeling komt omdat Cofense heeft gewaarschuwd voor nieuwe phishing-campagnes die gebruik maken van website-contactformulieren en factuurthema-lokmiddelen om malwarefamilies zoals respectievelijk I2Parcae RAT en PythonRatLoader te leveren, waarbij de laatste fungeert als kanaal om AsyncRAT, DCRat en Venom RAT in te zetten.
I2Parcae valt op door zijn verschillende unieke tactieken, technieken en procedures (TTP’s), zoals het ontwijken van Secure Email Gateway (SEG) door e-mails te proxyen via een legitieme infrastructuur, valse CAPTCHA’s, het misbruiken van hardgecodeerde Windows-functionaliteit om verwijderde bestanden te verbergen, en C2-mogelijkheden over Invisible Internet Project (I2P), een peer-to-peer anoniem netwerk met end-to-end encryptie”, aldus Cofense-onderzoeker Kahng An.
“Wanneer geïnfecteerd, kan I2Parcae Windows Defender uitschakelen, Windows Security Accounts Manager (SAM) opsommen voor accounts/groepen, browsercookies stelen en externe toegang tot geïnfecteerde hosts bieden.”
Aanvalsketens omvatten de verspreiding van boobytrapped pornografische links in e-mailberichten die, wanneer ze klikken, de ontvangers van het bericht naar een tussenliggende valse CAPTCHA-verificatiepagina leiden, die slachtoffers aanspoort een gecodeerd PowerShell-script te kopiëren en uit te voeren om toegang te krijgen tot de inhoud, een techniek dat heet ClickFix.
ClickFix is de afgelopen maanden een populaire social engineering-truc geworden om nietsvermoedende gebruikers ertoe te verleiden malware te downloaden onder het voorwendsel van het aanpakken van een vermeende fout of het voltooien van een reCAPTCHA-verificatie. Het is ook effectief in het omzeilen van beveiligingscontroles, omdat gebruikers zichzelf infecteren door de code uit te voeren.
Enterprise-beveiligingsbedrijf Proofpoint zei dat de ClickFix-techniek door meerdere ‘niet-toegeschreven’ bedreigingsactoren wordt gebruikt om een reeks trojans voor externe toegang, stealers en zelfs post-exploitatieframeworks zoals Brute Ratel C4 te leveren. Het is zelfs door vermoedelijke Russische spionageactoren overgenomen om inbreuk te maken op Oekraïense overheidsinstanties.
“Er zijn recentelijk bedreigingsactoren waargenomen die een nep-CAPTCHA-thema ClickFix-techniek gebruiken die pretendeert de gebruiker te valideren met een ‘Verify You Are Human’ (CAPTCHA) -controle”, aldus beveiligingsonderzoekers Tommy Madjar en Selena Larson. “Een groot deel van de activiteit is gebaseerd op een open source toolkit genaamd reCAPTCHA Phish, beschikbaar op GitHub voor ‘educatieve doeleinden’.”
“Het verraderlijke aan deze techniek is dat de tegenstanders azen op de aangeboren wens van mensen om behulpzaam en onafhankelijk te zijn. Door te voorzien in wat zowel een probleem als een oplossing lijkt te zijn, voelen mensen zich bevoegd om het probleem zelf ‘op te lossen’ zonder dat ze hun IT hoeven te waarschuwen. team of iemand anders, en het omzeilt de beveiligingsmaatregelen door de persoon zichzelf te laten infecteren.”
De onthullingen vallen ook samen met een toename van het aantal phishing-aanvallen waarbij gebruik wordt gemaakt van valse Docusign-verzoeken om detectie te omzeilen en uiteindelijk financiële fraude te plegen.
“Deze aanvallen vormen een dubbele bedreiging voor aannemers en leveranciers: onmiddellijk financieel verlies en potentiële verstoring van de bedrijfsvoering”, aldus SlashNext. “Wanneer een frauduleus document wordt ondertekend, kan dit ongeautoriseerde betalingen teweegbrengen en tegelijkertijd verwarring creëren over de feitelijke licentiestatus. Deze onzekerheid kan leiden tot vertragingen bij het bieden op nieuwe projecten of het behouden van lopende contracten.”