Onderzoekers van Unit 42, de onderzoeksgroep van Palo Alto Networks, hebben onlangs een niet eerder gerapporteerde phishing-campagne ontdekt die was uitgerust om zakelijke Facebook-accounts volledig over te nemen. Door middel van een phishing-aanbieding van tools zoals spreadsheetsjablonen werd een nieuwe infostealer verspreid: NodeStealer.
Browsercookies
Door middel van NodeStealer konden bedreigingsactoren browsercookies stelen om accounts op het platform te kapen, met name gericht op zakelijke accounts.
Deze observatie maakt deel uit van een groeiende trend die rond juli 2022 opdook met de ontdekking van de Ducktail infostealer. Sindsdien richten bedreigingsactoren zich steeds vaker op zakelijke Facebook-accounts – voor advertentiefraude en andere doeleinden.
Twee varianten
Volgens Unit 42 bestaat NodeStealer uit twee varianten die zijn geschreven in Python en verbeterd zijn met extra functies ten gunste van de dreigingsactoren. De dreigingsactor rust deze varianten uit met mogelijkheden om cryptocurrency te stelen, downloadmogelijkheden en de mogelijkheid om zakelijke Facebook-accounts volledig over te nemen.
NodeStealer vormt een groot risico voor zowel individuen als organisaties. Naast de directe impact op zakelijke Facebook-accounts, die voornamelijk financieel is, steelt de malware ook gegevens van browsers, die gebruikt kunnen worden voor verdere aanvallen.
Actoren blijven actief
Hoewel deze specifieke campagne niet meer actief is, heeft Unit 42 aanwijzingen dat de bedreigende actoren die achter deze campagne schuilgaan NodeStealer kunnen blijven gebruiken en ontwikkelen, of vergelijkbare technieken kunnen gebruiken om zakelijke Facebook-accounts te blijven aanvallen. Het is ook mogelijk dat er nog steeds gevolgen zijn voor eerder aangetaste organisaties.
