Pemburu ancaman memperingatkan tentang versi terbaru yang berbasis Python Pencuri Node yang kini dilengkapi untuk mengekstrak lebih banyak informasi dari akun Manajer Iklan Facebook korban dan mengambil data kartu kredit yang disimpan di browser web.
“Mereka mengumpulkan rincian anggaran akun Manajer Iklan Facebook korbannya, yang mungkin menjadi pintu gerbang maliklan Facebook,” kata peneliti Netskope Threat Labs Jan Michael Alcantara dalam laporan yang dibagikan kepada The Hacker News.
“Teknik baru yang digunakan oleh NodeStealer termasuk menggunakan Windows Restart Manager untuk membuka kunci file database browser, menambahkan kode sampah, dan menggunakan skrip batch untuk menghasilkan dan menjalankan skrip Python secara dinamis.”
NodeStealer, pertama kali didokumentasikan secara publik oleh Meta pada Mei 2023, dimulai sebagai malware JavaScript sebelum berkembang menjadi pencuri Python yang mampu mengumpulkan data terkait akun Facebook untuk memfasilitasi pengambilalihannya.
Ini dinilai dikembangkan oleh pelaku ancaman asal Vietnam, yang memiliki sejarah memanfaatkan berbagai keluarga malware yang berpusat pada pembajakan iklan Facebook dan akun bisnis untuk memicu aktivitas jahat lainnya.
Analisis terbaru dari Netskope menunjukkan bahwa artefak NodeStealer mulai menargetkan akun Pengelola Iklan Facebook yang digunakan untuk mengelola kampanye iklan di Facebook dan Instagram, selain menyerang akun Facebook Business.
Dengan melakukan hal ini, diduga bahwa niat para penyerang bukan hanya untuk mengambil alih akun Facebook, namun juga mempersenjatai mereka untuk digunakan dalam kampanye maliklan yang selanjutnya menyebarkan malware tersebut dengan menyamar sebagai perangkat lunak atau permainan populer.
“Kami baru-baru ini menemukan beberapa sampel Python NodeStealer yang mengumpulkan rincian anggaran akun menggunakan Facebook Graph API,” jelas Michael Alcantara. “Contoh awalnya menghasilkan token akses dengan masuk ke adsmanager.facebook[.]com menggunakan cookie yang dikumpulkan di mesin korban.”
Selain mengumpulkan token dan informasi terkait bisnis yang terkait dengan akun tersebut, malware tersebut juga menyertakan pemeriksaan yang secara eksplisit dirancang untuk menghindari menginfeksi mesin yang berlokasi di Vietnam sebagai cara untuk menghindari tindakan penegakan hukum, sehingga semakin memperkuat asal-usulnya.
Selain itu, sampel NodeStealer tertentu ditemukan menggunakan Windows Restart Manager yang sah untuk membuka kunci file database SQLite yang mungkin digunakan oleh proses lain. Hal ini dilakukan sebagai upaya menyedot data kartu kredit dari berbagai browser web.
Eksfiltrasi data dilakukan dengan menggunakan Telegram, yang menggarisbawahi bahwa platform pengiriman pesan ini masih terus menjadi vektor penting bagi penjahat dunia maya meskipun ada perubahan kebijakan baru-baru ini.
Iklan palsu melalui Facebook adalah jalur infeksi yang menguntungkan, sering kali meniru merek tepercaya untuk menyebarkan semua jenis malware. Hal ini dibuktikan dengan munculnya kampanye baru mulai 3 November 2024 yang meniru perangkat lunak pengelola kata sandi Bitwarden melalui iklan bersponsor Facebook untuk memasang ekstensi Google Chrome nakal.
“Malware ini mengumpulkan data pribadi dan menargetkan akun bisnis Facebook, yang berpotensi menyebabkan kerugian finansial bagi individu dan bisnis,” kata Bitdefender dalam sebuah laporan yang diterbitkan Senin. “Sekali lagi, kampanye ini menyoroti bagaimana pelaku ancaman mengeksploitasi platform tepercaya seperti Facebook untuk memikat pengguna agar membahayakan keamanan mereka sendiri.”
Email Phishing Mendistribusikan RAT I2Parcae melalui Teknik ClickFix
Perkembangan ini terjadi ketika Cofense telah memperingatkan kampanye phishing baru yang menggunakan formulir kontak situs web dan umpan bertema faktur untuk mengirimkan kelompok malware seperti I2Parcae RAT dan PythonRatLoader, yang kemudian bertindak sebagai saluran untuk menyebarkan AsyncRAT, DCRat, dan Venom RAT.
I2Parcae “terkenal karena memiliki beberapa taktik, teknik, dan prosedur (TTP) yang unik, seperti penghindaran Secure Email Gateway (SEG) dengan mem-proxy email melalui infrastruktur yang sah, CAPTCHA palsu, menyalahgunakan fungsionalitas Windows yang dikodekan keras untuk menyembunyikan file yang terjatuh, dan kemampuan C2 di atas Invisible Internet Project (I2P), jaringan anonim peer-to-peer dengan enkripsi end-to-end,” kata peneliti Cofense, Kahng An.
Ketika terinfeksi, I2Parcae mampu menonaktifkan Windows Defender, menghitung Windows Security Accounts Manager (SAM) untuk akun/grup, mencuri cookie browser, dan akses jarak jauh ke host yang terinfeksi.
Rantai serangan melibatkan penyebaran tautan pornografi jebakan dalam pesan email yang, setelah diklik, mengarahkan penerima pesan ke halaman verifikasi CAPTCHA palsu perantara, yang mendesak korban untuk menyalin dan menjalankan skrip PowerShell yang disandikan untuk mengakses konten, sebuah teknik yang disebut ClickFix.
ClickFix, dalam beberapa bulan terakhir, telah menjadi trik rekayasa sosial yang populer untuk memikat pengguna yang tidak menaruh curiga agar mengunduh malware dengan dalih mengatasi kesalahan yang diklaim atau menyelesaikan verifikasi reCAPTCHA. Ini juga efektif dalam menghindari kontrol keamanan karena fakta bahwa pengguna menginfeksi dirinya sendiri dengan mengeksekusi kode.
Perusahaan keamanan perusahaan Proofpoint mengatakan bahwa teknik ClickFix digunakan oleh beberapa pelaku ancaman “tanpa atribut” untuk mengirimkan serangkaian trojan akses jarak jauh, pencuri, dan bahkan kerangka kerja pasca-eksploitasi seperti Brute Ratel C4. Bahkan telah diadopsi oleh tersangka aktor spionase Rusia untuk melanggar entitas pemerintah Ukraina.
“Aktor ancaman baru-baru ini diamati menggunakan teknik ClickFix bertema CAPTCHA palsu yang berpura-pura memvalidasi pengguna dengan pemeriksaan 'Verify You Are Human' (CAPTCHA),” kata peneliti keamanan Tommy Madjar dan Selena Larson. “Sebagian besar aktivitas didasarkan pada perangkat sumber terbuka bernama reCAPTCHA Phish yang tersedia di GitHub untuk 'tujuan pendidikan'.”
“Yang berbahaya dari teknik ini adalah musuh memangsa keinginan bawaan manusia untuk membantu dan mandiri. Dengan memberikan apa yang tampak sebagai masalah dan solusi, orang merasa diberdayakan untuk 'memperbaiki' masalahnya sendiri tanpa perlu mengingatkan TI mereka. tim atau siapa pun, dan itu melewati perlindungan keamanan dengan membuat orang tersebut menulari dirinya sendiri.”
Pengungkapan ini juga bertepatan dengan meningkatnya serangan phishing yang memanfaatkan permintaan Docusign palsu untuk melewati deteksi dan pada akhirnya melakukan penipuan finansial.
“Serangan-serangan ini menimbulkan ancaman ganda bagi kontraktor dan vendor – kerugian finansial langsung dan potensi gangguan bisnis,” kata SlashNext. “Ketika dokumen palsu ditandatangani, hal ini dapat memicu pembayaran tidak sah sekaligus menimbulkan kebingungan tentang status perizinan sebenarnya. Ketidakpastian ini dapat menyebabkan penundaan dalam penawaran proyek baru atau mempertahankan kontrak yang ada saat ini.”