Gli account aziendali Facebook che sono stati compromessi vengono utilizzati per pubblicare annunci fasulli che utilizzano “foto di giovani donne” come esca per indurre le vittime a scaricare una versione aggiornata di un malware chiamato NodeStealer.
“Facendo clic sugli annunci si scarica immediatamente un archivio contenente un file .exe dannoso ‘Photo Album’ che rilascia anche un secondo eseguibile scritto in .NET: questo payload è responsabile del furto di cookie e password del browser,” ha affermato Bitdefender in un rapporto pubblicato.
Maggio 2023: NodeStealer vs Facebook, 1° atto
NodeStealer è stato scoperto per la prima volta da Meta nel maggio 2023 come un malware JavaScript progettato per facilitare l’acquisizione degli account Facebook. Da allora, gli autori delle minacce dietro l’operazione hanno sfruttato una variante basata su Python nei loro attacchi.
Il malware fa parte di un fiorente ecosistema di criminalità informatica in Vietnam, dove diversi autori di minacce stanno sfruttando diversi metodi che coinvolgono principalmente la pubblicità come vettore su Facebook per propagare il malware NodeStealer.
L’ultima campagna scoperta non è diversa in quanto le pubblicità dannose vengono utilizzate come canale per compromettere gli account Facebook degli utenti.
Il target di chi usa NodeStealer
“Lo strumento Ads Manager di Meta viene sfruttato attivamente in queste campagne per rivolgersi agli utenti maschi su Facebook, di età compresa tra 18 e 65 anni, provenienti da Europa, Africa e Caraibi“, ha affermato Bitdefender. “La fascia demografica più colpita è quella dei maschi con più di 45 anni.”
Sottrarre informazioni per rubare le credenziali
L’obiettivo finale degli attacchi è sfruttare i cookie rubati per aggirare meccanismi di sicurezza come l’autenticazione a due fattori e modificare le password, bloccando di fatto le vittime fuori dai propri account.
“Che si tratti di rubare denaro o truffare nuove vittime tramite account compromessi, questo tipo di attacco dannoso consente ai criminali informatici di rimanere sotto il radar oltrepassando le difese di sicurezza di Meta“, hanno affermato i ricercatori.
Altri casi di infostealing
All’inizio di agosto, è stato rivelato un altro tipo di attacco di furto di account mirato alle piattaforme di scommesse utilizzando indirizzi e-mail rubati per determinare gli indirizzi registrati e accedere agli account.
A volte questo può essere reso più semplice per i truffatori grazie alla giovane base di utenti e potrebbero non essere così abili nell’individuare le truffe.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per scoprire le ultime soluzioni di cyber security per aziende.