Investigadores de seguridad de la división Unit 42 de Palo Alto Networks han hallado una campaña de phishing no reportada hasta el momento que se sirve de nuevas variantes del malware NodeStealer.
NodeStealer está diseñado para piratear las cuentas comerciales de Facebook y robar criptomonedas de las billeteras de MetaMask. La compañía de Mark Zuckerberg advirtió sobre esta amenaza el pasado mes de mayo.
Desde Unit 42 vinculan la mencionada campaña con un actor de amenazas vietnamita no identificado. Parece que los piratas apuntaron a un navegador de origen vietnamita llamado Coc Coc y usaron varias cadenas de código vietnamita en el malware. El informe de Meta también encontraba una conexión con el país.
La primer variante del malware estaba escrita en JavaScript y proporcionaba a los actores de amenazas la posibilidad de robar cookies del navegador para secuentran cuentas de Facebook. Pero las dos nuevas variantes identificadas fueron escritas en Python, según recoge The Record Media.
Con el fin de obtener acceso a los sistemas de destino, los atacantes usaron enlaces de phising y engañaron a las víctimas para que descargaran archivos que contenían el ladrón de información malicioso.
Datos que recopila
Cuando el malware es ejecutado lo que hace es localizar cualquier cuenta comercial de Facebook que haya iniciado sesión en el navegador de forma predeterminada y procede a hackearla. Así, se hace con datos del objetivo como su número de seguidores, el estado de verificación, el saldo de crédito de la cuenta o su información de anuncios.
La amenaza también trata de hacerse con las credenciales de la billetera criptográfica MetaMask de los navegadores Chrome, Coc Coc y Brave.
Por otro lado, la segunda variante de NodeStealer puede leer los emails de la víctima. En este caso interrumpen las alertas de Facebook que notifican a la víctima sobre los cambios en la configuración.
La división de Palo Alto Network subraya que los ataques a las cuentas comerciales de Facebook se han convertido una tendencia creciente. Los cibercriminales las usan para fraudes publicitarios y otros fines.