据szhlha.net消息:Palo Alto Networks威胁情报小组Unit 42在最新的博客文章中表示,发现一项从未被通报过的网络钓鱼攻击行动,目的为传播数据窃取程序。该程序伪装成试算表范本等办公工具的恶意连接,可借此取得Facebook商业账号控制权。
这个新变种( NodeStealer 2.0,以Python编写)不同于Meta于2023年5月通报的版本,可窃取加密货币,并使用Telegram外泄数据。可看出攻击者以Facebook商业账号为目标的趋势日益明显,目的在于进行广告欺诈并获取经济利益。
Unit 42指出,该新变种主要感染途径为2022年12月的网络钓鱼攻击行动,攻击者借此传递恶意程序1号与2号变种,并利用多个Facebook页面和用户作为资讯发布渠道,诱骗受害者下载来自已知云计算文件存储供应商的连接。点击连接后会下载一个包含恶意数据窃取程序 .exe执行文件的 .zip压缩文件。
1号变种的攻击手段相当高调,会创建各种可能遭视为异常活动的处理程序,包括强制关闭图形化用户接口(GUI)上的快显窗口。然而2号变种的攻击更加分散,增加了识别恶意活动的难度。
通过使用受害者的用户ID和访问权限,这两种变种都可连接至Meta Graph API窃取Facebook商业账号凭证。Graph API是管理数据进出Facebook的主要方式,可以用程序化方式查询数据、发布贴文、管理广告等。攻击者会使用Graph API窃取目标对象的关注者数量、用户验证状态、账号是否使用预付服务等资讯,并发送至命令与控制服务器 (C2)。攻击者也会试图查看常用浏览器的cookie和本机数据库以窃取登录凭证。
2号变种则更进一步,将真正用户的电子邮件地址改为网络攻击者控制的信箱,让用户永远无法访问账号。
Palo Alto Networks台湾区总经理尤惠生表示,网络营销和广告是如今多数企业的核心。利用NodeStealer 2.0的2号变种,网络攻击者可以更改电子邮件地址,并让用户永远无法访问账号。不当使用账号抵用金或发布不当内容,可能会导致大规模的财务和声誉损失。而Facebook的使用群体年龄层偏大,对科技可能较陌生,更容易成为攻击目标。
尤惠生指出,若想防范NodeStealer及其各类变种,组织需要审视防护政策,留意Unit 42提供的入侵指标(IoC)。重点在于要采取主动措施,教育员工防范现代网络钓鱼策略,这些策略利用时事、业务需求和其他具吸引力的主题。
