Mã độc NodeStealer tấn công các tài khoản Facebook Business trên nhiều trình duyệt khác nhau

- Một chiến dịch tấn công đang nhằm vào các tài khoản Facebook Business thông qua tin nhắn giả mạo.

Mục tiêu của chiến dịch này là thu thập thông tin đăng nhập của nạn nhân bằng cách sử dụng một biến thể của mã độc NodeStealer dựa trên Python, sau đó sử dụng các thông tin thu thập trái phép để thực hiện các chiến dịch tấn công khác.

Chiến dịch này chủ yếu nhằm vào các ngành công nghiệp sản xuất và công nghệ ở Nam Âu và Bắc Mỹ. Ban đầu, NodeStealer là mã độc JavaScript, được Meta phát hiện vào tháng 05/2023. Tại thời điểm đó, NodeStealer có khả năng đánh cắp cookies và mật khẩu từ trình duyệt để xâm nhập vào tài khoản Facebook, Gmail và Outlook.

Ngoài ra, đã từng có một chiến dịch tấn công khác diễn ra vào tháng 12/2022 sử dụng phiên bản Python của mã độc NodeStealer, với một số biến thể được thiết kế để thực hiện hành vi đánh cắp tiền ảo. Dựa trên các phân tích của các chuyên gia bảo mật, đối tượng tấn công có thể là người Việt Nam. Nhóm tấn công này có khả năng đang hoạt động trở lại với các chiến thuật được sử dụng bởi các nhóm tấn công cùng mục tiêu khác trên toàn cầu.

Ảnh minh họa

Trong tuần vừa qua, đã ghi nhận về một vụ gửi hàng loạt tin nhắn lừa đảo trên ứng dụng Facebook Messenger. Tất cả các tin nhắn này đều được gửi từ một mạng botnet chứa các tài khoản cá nhân bị đánh cắp, với mục tiêu phát tán các tệp nén ZIP hoặc RAR chứa mã độc.

Quá trình lây nhiễm này là một phần trong chuỗi xâm nhập của mã độc NodeStealer, nhằm phát tán các tệp nén RAR lưu trữ trên mạng truyền nội dung (CDN) của Facebook. Những tệp nén này chứa một tập lệnh batch, khi được thực thi sẽ mở trình duyệt Chrome và điều hướng người dùng tới một trang web vô hại ngẫu nhiên. Cùng lúc đó, câu lệnh PowerShell được thực thi ẩn để tải xuống các tệp hỗ trợ bao gồm trình thông dịch Python cùng với mã độc NodeStealer.

Ngoài việc đánh cắp thông tin đăng nhập và cookies từ nhiều trình duyệt và nền tảng khác nhau, NodeStealer cũng có khả năng thu thập dữ liệu metadata từ thiết bị và gửi về cho các đối tượng tấn công thông qua ứng dụng Telegram.

Chiến dịch tấn công này được xem là bước khởi đầu cho các cuộc tấn công tập trung khác thông qua việc thu thập thông tin quan trọng. Sau đó, thông tin đăng nhập và cookies của tài khoản Facebook có thể bị chiếm đoạt và thực hiện giao dịch lừa đảo bằng việc lợi dụng danh tiếng của các trang doanh nghiệp uy tín.