Palo Alto Network Unit 42 đã phát hiện một chiến dịch phishing mới, phát tán biến thể Python của NodeStealer. Mã độc này được thiết kế nhằm chiếm đoạt các tài khoản doanh nghiệp trên Facebook và đánh cắp tiền từ ví điện tử.
NodeStealer là mã độc đánh cắp thông tin mới, phân phối trên Meta, cho phép đánh cắp cookie trình duyệt để chiếm đoạt tài khoản trên nhiều nền tảng, bao gồm Facebook, Gmail và Outlook. Mã độc lần đầu được phát hiện vào cuối tháng 1/2023 khi nhắm mục tiêu vào các trình duyệt của hệ thống Windows như Google Chrome, Microsoft Edge, Brave và Opera.
Biến thể mà Meta báo cáo hồi tháng 5 là mã độc Javascript tùy chỉnh đi kèm với môi trường Node.js. Hacker đã sử dụng Node.js để cho phép thực thi mã độc trên nhiều HĐH, bao gồm Windows, Linux và macOS. Mã độc lấy cắp thông tin này được cho là có nguồn gốc Việt Nam và do các hacker từ Việt Nam phát tán. Meta sau đó đã có hành động ngăn chặn và hỗ trợ nạn nhân khôi phục tài khoản.
Tuy nhiên, chiến dịch mới liên quan đến hai biến thể được viết bằng Python, cải tiến với các tính năng bổ sung để mang lại nhiều lợi ích hơn cho hacker. Những kẻ đứng sau mã độc đã trang bị cho các biến thể khả năng đánh cắp tiền điện tử, khả năng của downloader và khả năng chiếm đoạt hoàn toàn các tài khoản doanh nghiệp trên Facebook.
NodeStealer là một mối đe dọa nghiêm trọng đối với cả cá nhân và tổ chức. Mã độc cũng có thể đánh cắp thông tin đăng nhập từ các trình duyệt để có thể sử dụng cho các cuộc tấn công tiếp theo.
Nguồn: Security Affairs