I ricercatori di Palo Alto Networks hanno individuato una nuova campagna di phishing mirata agli account aziendali di Facebook. Il malware utilizzato, ovvero NodeStealer è già ben noto agli esperti di sicurezza. Si tratta di un infostealer individuato circa un anno fa ma che, dal momento del suo rilevamento, si è evoluto in maniera considerevole.
Secondo Vicky Ray, Direttore dell'Unità 42 Cyber Consulting & Threat Intelligence di Palo Alto "Oltre all'impatto diretto sugli account aziendali di Facebook, che è principalmente finanziario, il malware ruba anche credenziali dai browser, che possono essere utilizzate per ulteriori attacchi".
Il precedente attacco, risalente a gennaio 2023, aveva messo non poco in difficoltà Meta. L'attuale campagna, però, presenta un malware diverso da quello precedentemente analizzato. Stiamo parlando di due varianti scritte in Python, dotate di funzionalità avanzate che si concentrano sul furto di criptovalute e degli account aziendali di Facebook.
I cybercriminali agiscono rubando i cookie dei browser, dirottando gli account Facebook e prendendone possesso. Per attivare le vittime, invitano le stesse a scaricare file da servizi di archiviazione cloud considerati affidabili. Ciò porta molti utenti ad abbassare la guardia, cadendo docilmente nelle mani dei cybercriminali.
Le due varianti di NodeStealer, scritte in Python, preoccupano gli esperti
NodeStealer sfrutta API Graph, uno strumento utilizzato per importare ed esportare dati dalla piattaforma Facebook, per rubare informazioni sul target.
Ciò include metriche come conteggio dei follower, saldo del credito dell'account e statistiche sugli annunci. L'API Graph, un'interfaccia basata su HTTP, consente alle applicazioni di recuperare dati in modo programmatico, pubblicare storie, gestire annunci, caricare immagini ed eseguire varie altre attività.
Oltre a prelevare dati dall'account aziendale di Facebook, il malware ruba anche le credenziali dell'account stesso e non solo. Esaminando cookie e altri dati di vari browser tra cui Chrome, Edge, Brave e Firefox può ottenere i nomi utente e password per rubare l'account del social in questione.
Secondo Palo Alto "I proprietari di account aziendali di Facebook sono incoraggiati a utilizzare password complesse e difficili da indovinare e ad abilitare l'autenticazione a più fattori". Gli esperti hanno poi voluto rivolgersi agli utenti con alcune raccomandazioni "Prenditi il tempo necessario per istruire la tua organizzazione sulle tattiche di phishing, in particolare sugli approcci moderni e mirati che affrontano eventi attuali, esigenze aziendali e altri argomenti interessanti".