Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
03.08.2023

Новый штамм NodeStealer угрожает коммерческим аккаунтам на Facebook*

Специалисты по кибербезопасности выявили новую разновидность программы-вымогателя NodeStealer, написанную на Python . С помощью этого механизма хакеры могут без труда компрометировать коммерческие аккаунты на Facebook * и похищать криптовалюту.

Как сообщает компания Palo Alto Networks Unit 42, ранее неизвестный «штамм» был обнаружен в ходе киберкампании, начавшейся в декабре 2022 года. В настоящее время нет свидетельств того, что эта атака продолжается.

NodeStealer впервые описала компания Meta * в мае 2023 года, назвав его вредоносной программой, способной собирать пароли и куки-файлы из браузеров для взлома учетных записей Facebook, Gmail и Outlook . Тогда образцы были написаны на JavaScript, а новые версии — уже на Python.

По словам исследователя Лиора Рошбергера из Unit 42, NodeStealer несет большую угрозу как для отдельных людей, так и для бизнеса. Помимо причинения финансового ущерба, программа ворует логины и пароли из браузеров, которые используются в дальнейших атаках.

Атаки начинаются с фишинговых сообщений о якобы бесплатных шаблонах для Excel и Google Таблиц. Жертвам предлагается скачать архив с Google Диска.

Внутри архива находится исполняемый файл NodeStealer. Он не только собирает данные об аккаунтах организаций, но и отключает антивирус Microsoft Defender, а также ворует криптовалюту с помощью учетных данных MetaMask .

Для загрузки вредоносного кода используется обход контроля учетных записей (UAC). Такой же метод применяют злоумышленники, распространяющие банковский троян Casbaneiro.

Кроме того, была обнаружена модифицированная версия NodeStealer с дополнительными функциями: парсинг писем из Outlook, антианалитические инструменты и даже попытки полного захвата аккаунтов.

После кражи данных NodeStealer отправляет их через Telegram API, а затем удаляет файлы, чтобы скрыть следы взлома.

Эксперты отмечают, что NodeStealer — часть растущего тренда среди мошенников из Вьетнама, которые стали часто взламывать бизнес-страницы на Facebook.

Владельцам бизнес-аккаунтов рекомендуется использовать сложные пароли, двухфакторную аутентификацию и регулярно обучать сотрудников распознавать современные формы фишинга.

* Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями; их деятельность запрещена на территории РФ.