Los investigadores de Unit 42 descubrieron recientemente una campaña de phishing no denunciada anteriormente que distribuía un ladrón de información equipado para apoderarse por completo de las cuentas comerciales de Facebook; las cuales fueron objeto de un señuelo de phishing que ofrecía herramientas como plantillas de hojas de cálculo para empresas y ha sido nombrado NodeStealer 2.0.
El actor de amenazas usó varias páginas y usuarios de Facebook para publicar información que atraía a las víctimas a descargar un enlace de proveedores de almacenamiento de archivos en la nube conocidos. Después de hacer clic en él, se descargaba un archivo .zip en la máquina que contenía el ejecutable del ladrón de información.
Lo primero que hace el malware cuando se ejecuta es verificar si hay una cuenta comercial de Facebook iniciada en el navegador predeterminado en la máquina infectada, y de haberla, el malware se conecta a Graph API con la identificación de usuario y el token de acceso robado del dueño.
NodeStealer usa Graph API para robar información sobre el objetivo, que incluye: recuento de seguidores, estado de verificación del usuario, saldo de crédito de la cuenta, si la cuenta es de prepago e información de anuncio, así como credenciales de cuentas.
Esto es parte de una tendencia creciente de actores de amenazas que apuntan a las cuentas comerciales de Facebook, para fraude publicitario y otros fines, que surgió alrededor de julio de 2022 con el descubrimiento del ladrón de información Ducktail. Curiosamente, Meta sospechaba previamente que tanto Ducktail como NodeStealer se originaban en actores de amenazas con sede en Vietnam.
Aproximadamente ocho meses después, en marzo de 2023, se reportó la aparición de FakeGPT, una nueva variante de una extensión falsa de Chrome ChatGPT que roba cuentas de anuncios de Facebook. En mayo de 2023, apareció un informe de Meta sobre un nuevo malware para robar información llamado NodeStealer, compilado en julio de 2022, que describía malware y actividad maliciosa que involucraba a NodeStealer; esto permitió a los actores de amenazas robar cookies del navegador para secuestrar cuentas en la plataforma, apuntando específicamente a cuentas comerciales.
Mientras investigaba la tendencia creciente, Unit 42 se encontró con una campaña que comenzó alrededor de diciembre de 2022 y que no se había reportado anteriormente. El ladrón de información distribuido en la campaña comparte múltiples similitudes con la variante de NodeStealer 2022 que analizó Meta, la cual estaba escrita en JavaScript. Sin embargo, la nueva campaña involucró dos variantes escritas en Python, mejoradas con características adicionales para beneficiar a los actores de amenazas. El actor de amenazas equipó estas variantes con capacidades de robo de criptomonedas, posibilidades de descarga y la posibilidad de hacerse cargo por completo de las cuentas comerciales de Facebook.
NodeStealer supone un gran riesgo tanto para las personas como para las organizaciones. Además del impacto directo en las cuentas comerciales de Facebook, que es principalmente financiero, el malware también roba las credenciales de los navegadores, que pueden usarse para otros ataques.
Palo Alto Networks alienta a todas las organizaciones a revisar sus políticas de protección y utilizar los indicadores de compromiso (IoC, indicators of compromise). Se recomienda a los propietarios de cuentas comerciales de Facebook que usen contraseñas seguras y habiliten la autenticación multifactor. Además, tomarse el tiempo de brindar educación a las organizaciones sobre tácticas de phishing, especialmente enfoques modernos y específicos que se relacionan con los eventos actuales, las necesidades comerciales y otros temas atractivos.