MÜNCHEN (IT BOLTWISE) – Eine neue Version der NodeStealer-Malware sorgt für Aufsehen in der IT-Sicherheitsbranche. Diese Python-basierte Bedrohung zielt darauf ab, sensible Informationen aus Facebook-Werbekonten zu extrahieren und Kreditkartendaten zu stehlen.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die Sicherheitsforscher von Netskope Threat Labs haben eine aktualisierte Version der NodeStealer-Malware entdeckt, die nun in der Lage ist, noch mehr Informationen aus den Facebook Ads Manager-Konten ihrer Opfer zu extrahieren und Kreditkartendaten aus Webbrowsern zu stehlen. Laut Jan Michael Alcantara, einem Forscher bei Netskope, sammeln die Angreifer Budgetdetails von Facebook Ads Manager-Konten, was ein Einfallstor für Facebook-Malvertising sein könnte.
NodeStealer wurde erstmals im Mai 2023 von Meta öffentlich dokumentiert und begann als JavaScript-Malware, bevor sie sich zu einem Python-Stealer entwickelte, der Daten im Zusammenhang mit Facebook-Konten sammelt, um deren Übernahme zu erleichtern. Es wird angenommen, dass vietnamesische Bedrohungsakteure hinter der Entwicklung stehen, die eine Geschichte der Nutzung verschiedener Malware-Familien haben, die sich auf die Übernahme von Facebook-Werbe- und Geschäftskonten konzentrieren, um andere bösartige Aktivitäten zu unterstützen.
Die neueste Analyse von Netskope zeigt, dass NodeStealer-Artefakte begonnen haben, Facebook Ads Manager-Konten anzugreifen, die zur Verwaltung von Werbekampagnen auf Facebook und Instagram verwendet werden, zusätzlich zu Facebook Business-Konten. Es wird vermutet, dass die Angreifer nicht nur die Kontrolle über Facebook-Konten übernehmen wollen, sondern diese auch für Malvertising-Kampagnen nutzen möchten, die die Malware unter dem Deckmantel beliebter Software oder Spiele weiterverbreiten.
Einige NodeStealer-Proben verwenden das legitime Windows Restart Manager-Programm, um SQLite-Datenbankdateien zu entsperren, die möglicherweise von anderen Prozessen verwendet werden. Dies geschieht in dem Versuch, Kreditkartendaten aus verschiedenen Webbrowsern zu stehlen. Die Datenexfiltration erfolgt über Telegram, was unterstreicht, dass die Messaging-Plattform trotz jüngster Änderungen ihrer Richtlinien weiterhin ein wichtiger Vektor für Cyberkriminelle ist.
Malvertising über Facebook ist ein lukrativer Infektionsweg, der oft vertrauenswürdige Marken imitiert, um alle Arten von Malware zu verbreiten. Dies zeigt sich in der Entstehung einer neuen Kampagne, die ab dem 3. November 2024 gestartet wurde und die Bitwarden-Passwortmanager-Software durch Facebook-Sponsored-Ads imitiert, um eine bösartige Google Chrome-Erweiterung zu installieren.
Die Entwicklung fällt mit einer Zunahme von Phishing-Angriffen zusammen, die gefälschte Docusign-Anfragen nutzen, um die Erkennung zu umgehen und letztendlich finanziellen Betrug zu begehen. Diese Angriffe stellen eine doppelte Bedrohung für Auftragnehmer und Anbieter dar – unmittelbare finanzielle Verluste und potenzielle Geschäftsunterbrechungen.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.