Atak na konta firmowe na Facebooku. Nowy wariant złośliwego oprogramowania

O kampanii informują badacze z jednostki Unit42 firmy Palo Alto Networks. Wcześniej ten rodzaj złośliwego działania nie był raportowany.

Program typu stealer (nazwany NodeStealer) służy do wykradania informacji i przejmowania kont biznesowych na Facebooku. Kampania wpisuje się w rosnący trend ataków cyberprzestępców na konta biznesowe w celu oszustw reklamowych, trwający od lipca 2022 roku (np. do kont firmowych często „podłączone” są karty płatnicze, by obsługiwać kampanie reklamowe, celem jest wykradanie z nich środków) – czytamy w analizie specjalistów.

Oprogramowanie potrafi także wykradać kryptowaluty z portfeli kryptowalutowych (MetaMask). Jest bardzo groźne z tego względu, że wykrada też dane uwierzytelniające z przeglądarek, które mogą zostać wykorzystane do dalszych ataków - zwraca uwagę serwis The Record.

„Chociaż ta kampania nie jest już aktywna, mamy przesłanki, że stojące za nią ugrupowania cyberprzestępcze mogą nadal wykorzystywać i rozwijać NodeStealer lub wykorzystywać podobne techniki, aby nadal atakować konta firmowe na Facebooku. Możliwe jest również, że mogą wystąpić trwałe skutki dla wcześniej zaatakowanych organizacji” – napisano w raporcie Unit42.

Phishing jedną z metod

Badacze powiązali kampanię z nieznanym wietnamskim ugrupowaniem cyberprzestępczym ze względu na wykorzystanie kilku wersów wietnamskiego kodu w złośliwym oprogramowaniu. W ramach kampanii odkryto dwa warianty NodeStealer.

Hakerzy wykorzystywali między innymi linki phishingowe, nakłaniając najpierw ofiary do pobrania plików zawierających złośliwe oprogramowanie. Po jego uruchomieniu program sprawdza wszystkie zalogowane konta firmowe na Facebooku w domyślnej przeglądarce i przystępuje do wykradania informacji: salda konta, informacji o reklamie, ale też np. liczbie obserwujących konto.

Dodatkowo miała następować próba kradzieży danych uwierzytelniających do portfela kryptograficznego MetaMask z przeglądarki Cốc Cốc (wietnamska), Chrome i Brave. Z kolei drugi wariant może odczytywać wiadomości ofiary, co istotne np. maile o alertach Facebooka, dotyczące zmiany hasła do logowania.

Jak chronić konto na Facebooku?

Ta kampania – zdaniem badaczy – nie jest już aktywna, ale to nie znaczy, że cyberprzestępcy nie mogą nadal ulepszać stworzonego przez siebie złośliwego oprogramowania i atakować nowe konta biznesowe na Facebooku.

Dlatego podstawą jest włączenie uwierzytelnienia dwuskładnikowego oraz używanie silnych haseł, a także ostrożność w podejściu do wiadomości (szczególnie od nieznajomych), które zawierają linki oraz próby nakłonienia do kliknięcia i podania swoich danych do logowania/karty płatniczej/inne.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].