Los cazadores de amenazas advierten sobre una versión actualizada del software basado en Python Ladrón de nodos que ahora está equipado para extraer más información de las cuentas del Administrador de anuncios de Facebook de las víctimas y recopilar datos de tarjetas de crédito almacenados en los navegadores web.
“Recopilan detalles presupuestarios de las cuentas de Facebook Ads Manager de sus víctimas, lo que podría ser una puerta de entrada para la publicidad maliciosa de Facebook”, dijo el investigador de Netskope Threat Labs, Jan Michael Alcantara, en un informe compartido con The Hacker News.
“Las nuevas técnicas utilizadas por NodeStealer incluyen el uso del Administrador de reinicio de Windows para desbloquear archivos de la base de datos del navegador, agregar código basura y usar un script por lotes para generar y ejecutar dinámicamente el script Python”.
NodeStealer, documentado públicamente por primera vez por Meta en mayo de 2023, comenzó como malware de JavaScript antes de evolucionar hasta convertirse en un ladrón de Python capaz de recopilar datos relacionados con cuentas de Facebook para facilitar su adquisición.
Se considera que ha sido desarrollado por actores de amenazas vietnamitas, que tienen un historial de aprovechar varias familias de malware que se centran en secuestrar publicidad de Facebook y cuentas comerciales para impulsar otras actividades maliciosas.
El último análisis de Netskope muestra que los artefactos de NodeStealer han comenzado a apuntar a las cuentas de Facebook Ads Manager que se utilizan para administrar campañas publicitarias en Facebook e Instagram, además de atacar las cuentas comerciales de Facebook.
Al hacerlo, se sospecha que la intención de los atacantes no es sólo tomar el control de las cuentas de Facebook, sino también convertirlas en armas para usarlas en campañas de publicidad maliciosa que propaguen aún más el malware bajo la apariencia de software o juegos populares.
“Recientemente encontramos varias muestras de Python NodeStealer que recopilan detalles del presupuesto de la cuenta utilizando la API Graph de Facebook”, explicó Michael Alcantara. “Las muestras generan inicialmente un token de acceso al iniciar sesión en adsmanager.facebook(.)com utilizando cookies recopiladas en la máquina de la víctima”.
Además de recopilar los tokens y la información comercial vinculada a esas cuentas, el malware incluye un control diseñado explícitamente para evitar infectar máquinas ubicadas en Vietnam como una forma de evadir las acciones policiales, solidificando aún más sus orígenes.
Además de eso, se ha descubierto que ciertas muestras de NodeStealer utilizan el programa legítimo Administrador de reinicio de Windows para desbloquear archivos de bases de datos SQLite que posiblemente estén siendo utilizados por otros procesos. Esto se hace en un intento de desviar datos de tarjetas de crédito de varios navegadores web.
La exfiltración de datos se logra utilizando Telegram, lo que subraya que la plataforma de mensajería sigue siendo un vector crucial para los ciberdelincuentes a pesar de los recientes cambios en su política.
La publicidad maliciosa a través de Facebook es una vía de infección lucrativa, que a menudo se hace pasar por marcas confiables para difundir todo tipo de malware. Esto se evidencia con la aparición de una nueva campaña que comenzó el 3 de noviembre de 2024, que imitó el software de administración de contraseñas Bitwarden a través de anuncios patrocinados por Facebook para instalar una extensión fraudulenta de Google Chrome.
“El malware recopila datos personales y apunta a cuentas comerciales de Facebook, lo que potencialmente genera pérdidas financieras para individuos y empresas”, dijo Bitdefender en un informe publicado el lunes. “Una vez más, esta campaña destaca cómo los actores de amenazas explotan plataformas confiables como Facebook para atraer a los usuarios y comprometer su propia seguridad”.
Los correos electrónicos de phishing distribuyen I2Parcae RAT mediante la técnica ClickFix
El desarrollo se produce cuando Cofense ha alertado sobre nuevas campañas de phishing que emplean formularios de contacto de sitios web y señuelos con temas de facturas para entregar familias de malware como I2Parcae RAT y PythonRatLoader, respectivamente, y este último actúa como un conducto para implementar AsyncRAT, DCRat y Venom RAT.
I2Parcae es “notable por tener varias tácticas, técnicas y procedimientos (TTP) únicos, como la evasión de Secure Email Gateway (SEG) mediante el envío de correos electrónicos mediante proxy a través de infraestructura legítima, CAPTCHA falsos, abusando de la funcionalidad codificada de Windows para ocultar archivos caídos y capacidades C2 sobre Invisible Internet Project (I2P), una red anónima de igual a igual con cifrado de extremo a extremo”, dijo el investigador de Cofense Kahng An.
“Cuando está infectado, I2Parcae es capaz de deshabilitar Windows Defender, enumerar el Administrador de cuentas de seguridad de Windows (SAM) para cuentas/grupos, robar cookies del navegador y acceso remoto a hosts infectados”.
Las cadenas de ataque implican la propagación de enlaces pornográficos con trampas explosivas en mensajes de correo electrónico que, al hacer clic, conducen a los destinatarios del mensaje a una página intermedia de verificación CAPTCHA falsa, que insta a las víctimas a copiar y ejecutar un script PowerShell codificado para acceder al contenido, una técnica que se ha denominado ClickFix.
ClickFix, en los últimos meses, se ha convertido en un popular truco de ingeniería social para atraer a usuarios desprevenidos a descargar malware con el pretexto de solucionar un supuesto error o completar una verificación reCAPTCHA. También es eficaz para eludir los controles de seguridad debido al hecho de que los usuarios se infectan a sí mismos al ejecutar el código.
La firma de seguridad empresarial Proofpoint dijo que la técnica ClickFix está siendo utilizada por múltiples actores de amenazas “no atribuidos” para ofrecer una variedad de troyanos de acceso remoto, ladrones e incluso marcos de post-explotación como Brute Ratel C4. Incluso ha sido adoptado por presuntos actores de espionaje rusos para violar entidades gubernamentales ucranianas.
“Recientemente se ha observado que los actores de amenazas utilizan una técnica ClickFix con temática CAPTCHA falsa que pretende validar al usuario con una verificación ‘Verificar que eres humano’ (CAPTCHA)”, dijeron los investigadores de seguridad Tommy Madjar y Selena Larson. “Gran parte de la actividad se basa en un conjunto de herramientas de código abierto llamado reCAPTCHA Phish disponible en GitHub para ‘fines educativos'”.
“Lo insidioso de esta técnica es que los adversarios se aprovechan del deseo innato de las personas de ser útiles e independientes. Al proporcionar lo que parece ser tanto un problema como una solución, las personas se sienten empoderadas para ‘solucionar’ el problema por sí mismas sin necesidad de alertar a su departamento de TI. equipo o cualquier otra persona, y pasa por alto las protecciones de seguridad al hacer que la persona se infecte a sí misma”.
Las revelaciones también coinciden con un aumento de los ataques de phishing que utilizan solicitudes falsas de Docusign para evitar la detección y, en última instancia, realizar fraude financiero.
“Estos ataques plantean una doble amenaza para los contratistas y proveedores: pérdida financiera inmediata y posible interrupción del negocio”, afirmó SlashNext. “Cuando se firma un documento fraudulento, puede desencadenar pagos no autorizados y al mismo tiempo crear confusión sobre el estado real de la licencia. Esta incertidumbre puede provocar retrasos en las ofertas de nuevos proyectos o en el mantenimiento de los contratos actuales”.
