I ricercatori di Unit 42 hanno recentemente scoperto una campagna di phishing non segnalata che distribuiva un infostealer in grado di acquisire gli account aziendali di Facebook, presi di mira con un’esca che offriva strumenti come modelli di fogli di calcolo. Si tratta di un’attività che si inserisce in un trend crescente da parte degli attori di minacce che colpiscono gli account aziendali di Facebook – per frodi pubblicitarie e altri scopi – che è emersa intorno a luglio 2022 con la scoperta dell’infostealer Ducktail. Circa otto mesi dopo, a marzo 2023, è stata segnalata FakeGPT, una nuova variante di una falsa estensione Chrome di ChatGPT che ruba gli account Facebook Ad. Ad aprile, Unit 42 ha riferito di attacchi truffaldini a tema ChatGPT, mentre a maggio è emerso un report di Meta in cui si segnalava un nuovo malware per il furto di informazioni definito NodeStealer, che descriveva un malware realizzato nel luglio 2022 e attività pericolose che lo coinvolgevano a gennaio 2023. NodeStealer consentiva agli attori delle minacce di rubare i cookie del browser per dirottare gli account sulla piattaforma, puntando in particolare su quelli business.
Indagando su questa tendenza, i ricercatori di Unit 42 hanno rilevato una campagna iniziata intorno a dicembre 2022, che distribuiva un infostealer che presenta numerose somiglianze con la variante citata di NodeStealer, scritta in JavaScript. Tuttavia, la nuova campagna ha coinvolto due varianti scritte in Python migliorate, con l’aggiunta di funzionalità per il furto di criptovalute, di downloader e capacità di impossessarsi completamente degli account business di Facebook, a beneficio dei cybercriminali.
NodeStealer rappresenta un grande rischio per individui e imprese. Oltre all’impatto diretto sugli account business, il malware ruba anche le credenziali dai browser che possono essere utilizzate per ulteriori attacchi.
I clienti di Palo Alto Networks ricevono protezioni contro NodeStealer nei seguenti modi:
- Le organizzazioni possono coinvolgere il team di risposta agli incidenti dell’Unità 42 per assistenza specifica con questa minaccia e altre.
- Gli agenti Cortex XDR e XSIAM aiutano a proteggere dalle minacce discusse in questo articolo, fornendo una difesa multilivello che include la protezione dalle minacce comportamentali e la protezione dagli exploit.
- Il servizio di analisi del malware fornito dal cloud di Advanced WildFire identifica accuratamente i campioni noti relativi a queste minacce come dannosi.
- Il filtro URL avanzato e la sicurezza DNS identificano gli URL e i domini associati a questa campagna come dannosi.
- Firewall di nuova generazione con abbonamenti di sicurezza Advanced Threat Prevention possono aiutare a bloccare le minacce
