Des chercheurs en cybersécurité ont découvert une variante Python d’un malware voleur NodeStealer qui est équipé pour prendre entièrement en charge les comptes professionnels Facebook ainsi que siphonner la crypto-monnaie.
L’unité 42 du réseau de Palo Alto a déclaré avoir détecté la souche auparavant non documentée dans le cadre d’une campagne qui a débuté en décembre 2022.
NodeStealer a été exposé pour la première fois par Meta en mai 2023, le décrivant comme un voleur capable de récolter les cookies et les mots de passe des navigateurs Web pour compromettre les comptes Facebook, Gmail et Outlook. Alors que les exemples précédents étaient écrits en JavaScript, les dernières versions sont codées en Python.
« NodeStealer présente un grand risque pour les individus et les organisations », a déclaré Lior Rochberger, chercheur à l’unité 42. « Outre l’impact direct sur les comptes professionnels Facebook, qui est principalement financier, le logiciel malveillant vole également les informations d’identification des navigateurs, qui peuvent être utilisées pour d’autres attaques. »
Les attaques commencent par de faux messages sur Facebook qui prétendent offrir gratuitement des modèles Microsoft Excel et Google Sheets de suivi budgétaire « professionnel », incitant les victimes à télécharger un fichier d’archive ZIP hébergé sur Google Drive.
Le fichier ZIP intègre l’exécutable du voleur qui, en plus de capturer les informations du compte professionnel Facebook, est conçu pour télécharger des logiciels malveillants supplémentaires tels que BitRAT et XWorm sous la forme de fichiers ZIP, désactiver Microsoft Defender Antivirus et effectuer un vol de crypto en utilisant les informations d’identification MetaMask. à partir des navigateurs Web Google Chrome, Cốc Cốc et Brave.
Les téléchargements sont effectués au moyen d’une technique de contournement du contrôle de compte d’utilisateur (UAC) qui utilise fodhelper.exe pour exécuter des scripts PowerShell qui récupèrent les fichiers ZIP à partir d’un serveur distant.
Il convient de noter que la méthode de contournement FodHelper UAC a également été adoptée par des acteurs malveillants à motivation financière derrière le logiciel malveillant bancaire Casbaneiro pour obtenir des privilèges élevés sur les hôtes infectés.
L’unité 42 a déclaré avoir en outre repéré une variante Python améliorée de NodeStealer qui va au-delà du vol d’informations d’identification et de crypto en implémentant des fonctionnalités anti-analyse, en analysant les e-mails de Microsoft Outlook et même en essayant de prendre en charge le compte Facebook associé.
Une fois les informations nécessaires collectées, les fichiers sont exfiltrés via l’API Telegram, après quoi ils sont supprimés de la machine pour effacer la trace.
NodeStealer rejoint également des programmes malveillants tels que Ducktail, qui font partie d’une tendance croissante des acteurs vietnamiens de la menace qui cherchent à s’introduire dans les comptes professionnels de Facebook pour faire de la publicité frauduleuse et propager des logiciels malveillants à d’autres utilisateurs sur la plate-forme de médias sociaux.
Le développement intervient alors que des acteurs de la menace ont été observés en train d’exploiter les serveurs WebDAV pour déployer BATLOADER, qui est ensuite utilisé pour distribuer XWorm dans le cadre d’une attaque de phishing en plusieurs étapes.
« Les propriétaires de comptes professionnels Facebook sont encouragés à utiliser des mots de passe forts et à activer l’authentification multifacteur », a déclaré Rochberger. « Prenez le temps de former votre organisation sur les tactiques d’hameçonnage, en particulier les approches modernes et ciblées qui jouent sur l’actualité, les besoins de l’entreprise et d’autres sujets attrayants. »
