Σύμφωνα με έκθεση της Palo Alto Networks, αναφέρεται ότι μια νέα επίθεση phishing διανέμει ένα info-stealer και στοχεύει και business accounts του Facebook. Το malware, ένα info-stealer με την ονομασία NodeStealer 2.0, είναι σε θέση να αποκτήσει έλεγχο επί των επιχειρηματικών λογαριασμών στο κοινωνικό δίκτυο Facebook χρησιμοποιώντας κακόβουλους συνδέσμους που παριστάνουν εργαλεία γραφείου όπως πρότυπα υπολογιστικών φύλλων.
Δείτε επίσης: Meta: Θα επιτρέπει στους χρήστες να κατεβάζουν εφαρμογές μέσω Facebook;
Ενώ η Meta είχε αναφέρει μια παλαιότερη μορφή τον Μάιο του τρέχοντος έτους, η νέα έκδοση που γράφτηκε σε Python είναι ακόμα πιο ισχυρή, καθώς μπορεί να κλέψει κρυπτονομίσματα και δεδομένα από το Telegram. Αυτό το εύρημα είναι μέρος της αυξανόμενης εμφάνισης επιθέσεων phishing σε λογαριασμούς Facebook.
Η κύρια καμπάνια phishing για το NodeStealer ανιχνεύτηκε για πρώτη φορά τον Δεκέμβριο, όταν δύο παραλλαγές κακόβουλου λογισμικού με τα ονόματα Variant #1 και Variant #2 εντοπίστηκαν. Οι επιτιθέμενοι χρησιμοποίησαν αρκετές σελίδες και χρήστες στο Facebook για να δημιουργήσουν δημοσιεύσεις που ελκύουν θύματα να κατεβάσουν ένα σύνδεσμο από δημοφιλείς παρόχους αποθήκευσης αρχείων στο “cloud”. Κατά το κλικ στον σύνδεσμο, λαμβάνεται ένα αρχείο .zip που περιέχει τα κακόβουλα αρχεία εκτελέσιμων προγραμμάτων (.exe) του infostealer.
Δείτε επίσης: Facebook: Ξεπέρασε τους 3 δισεκατομμύρια ενεργούς χρήστες μηνιαίως
Σύμφωνα με την έκθεση της εταιρείας κυβερνοασφάλειας, η Variant #1 του ιού είναι πολύ πιο εμφανής και εκδηλώνει αρκετά σημάδια ανεπάρκειας, όπως το κλείσιμο αναδυόμενων παραθύρων. Αντίθετα, η Variant #2 είναι πιο διακριτική και δυσκολότερη να ανιχνευθεί. Και οι δύο εκδοχές μπορούν να χακάρουν τα credentials των business accounts του Facebook συνδεόμενες με το Meta Graph API, χρησιμοποιώντας το user ID και το access token του θύματος.
Το Graph API είναι ο κύριος τρόπος για την εξαγωγή δεδομένων χρήστη, συμπεριλαμβανομένων λεπτομερειών όπως ο κατάσταση επαλήθευσης του χρήστη, εάν ο λογαριασμός είναι προπληρωμένος κ.λπ., και έπειτα τα μεταδίδει στον διακομιστή ελέγχου και ελέγχου (C2). Οι απατεώνες προσπαθούν επίσης να κλέψουν τα credentials σύνδεσης ψάχνωντας σε cookies και τοπικές βάσεις δεδομένων που χρησιμοποιούνται συχνά από προγράμματα περιήγησης. Η Variant #2 αντικαθιστά αθόρυβα τη δική διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη με μια διεύθυνση που ελέγχεται από τον επιτιθέμενο, κλειδώνοντας τον χρήστη έξω από τον λογαριασμό του και τον καθιστά ευάλωτο σε οικονομικές απώλειες και ακόμα και σε καταστροφή της φήμης του με την ανάρτηση ακατάλληλου περιεχομένου.
«Το διαδικτυακό μάρκετινγκ και η διαφήμιση αποτελούν βασικό μέρος των περισσότερων επιχειρήσεων σήμερα. Μέσω της παραλλαγής #2 του NodeStealer 2.0, οι κυβερνοεπιθέσεις μπορούν να αλλάξουν τη συνδεδεμένη διεύθυνση email και να κλειδώσουν τους χρήστες επ’ αόριστον. Αυτό θα μπορούσε να οδηγήσει σε μεγάλης κλίμακας οικονομική ζημιά και ζημιά στη φήμη λόγω της ακατάλληλης χρήσης της πίστωσης λογαριασμού ή της δημοσίευσης ακατάλληλου περιεχομένου. Το Facebook είναι μια πλατφόρμα γεμάτη με χρήστες λίγο μεγαλύτερης ηλικίας που μπορεί να είναι λιγότερο γνώστες της τεχνολογίας, καθιστώντας τους εύκολους στόχους», δήλωσε ο Anil Valluri, MD και Αντιπρόεδρος, Ινδία και SAARC, Palo Alto Networks, στην ανάρτηση στο blog.
Ο Anil Valluri της Palo Alto Networks συνιστά στις εταιρείες να εξετάσουν εκτενώς τις πολιτικές προστασίας τους από κυβερνοεπιθέσεις και να ελέγξουν τους indicators of compromise (IoCs) που αναφέρονται από την Unit 42 ως προληπτικό μέτρο.
Πηγή πληροφοριών: thehindu.com
