يحذر الباحثون الأمنيون من نسخة محدثة من برنامج NodeStealer القائم على Python، الذي أصبح أكثر تطورًا وقادرًا على سرقة معلومات حساسة من حسابات Facebook Ads Manager، بما في ذلك بيانات بطاقات الائتمان المخزنة في المتصفحات.

أهم المخاطر التي يشكلها NodeStealer

1. استغلال حسابات Facebook Ads Manager:
2. يجمع البرنامج تفاصيل الميزانية والمعلومات التجارية للحسابات المستهدفة، مما يمكنه من استخدام الحسابات في حملات إعلانات ضارة (Malvertising).
3. تقنيات متطورة يستخدمها NodeStealer:

• استخدام Windows Restart Manager لفتح ملفات قاعدة بيانات المتصفح.
• إدخال شفرات زائدة لإخفاء الكود.
• إنشاء وتشغيل سكربتات Python ديناميكيًا باستخدام ملفات batch scripts.

1. تهريب البيانات عبر Telegram:
2. Telegram يظل أحد الأدوات الرئيسية للجهات المهاجمة لتسريب البيانات المسروقة.
3. الإعلانات الضارة لنشر البرمجيات الخبيثة:
4. تم استخدام إعلانات مزيفة لانتحال علامات تجارية موثوقة مثل Bitwarden لنشر إضافات خبيثة على متصفح Chrome، مما أدى إلى إصابة المستخدمين واختراق الحسابات.

أصل وتطور NodeStealer

تم الكشف عن NodeStealer لأول مرة بواسطة Meta في مايو 2023 كبرنامج ضار قائم على JavaScript. تطور لاحقًا ليصبح برنامج سرقة قائمًا على Python. تشير التحليلات إلى أنه تم تطويره من قبل جهات تهديد فيتنامية معروفة باستخدام برمجيات خبيثة تستهدف حسابات إعلانات وأعمال فيسبوك لتمويل أنشطة خبيثة أخرى.

قدرات NodeStealer الأساسية

1. السيطرة على حسابات Facebook Business:
2. يعتمد NodeStealer على Facebook Graph API لتوليد رموز الوصول باستخدام ملفات تعريف الارتباط المسروقة من أجهزة الضحايا.
3. تجنب تطبيق القانون:
4. يحتوي البرنامج على آليات تمنع إصابة الأجهزة الموجودة في فيتنام، ما يشير إلى جهود مقصودة لتجنب الملاحقة القانونية.
5. سرقة بيانات بطاقات الائتمان:
6. يقوم البرنامج بفك تشفير ملفات قواعد بيانات SQLite الخاصة بالمتصفح لاستخراج تفاصيل بطاقات الائتمان والمعلومات الحساسة الأخرى.

حملات جديدة وأساليب خبيثة

• الإعلانات المزيفة وانتحال الهوية:
• حملات حديثة بدأت في نوفمبر 2024 استخدمت إعلانات مدفوعة على فيسبوك لانتحال هوية برامج موثوقة مثل Bitwarden. تم من خلالها توزيع إضافات خبيثة لمتصفح Chrome لاختراق بيانات المستخدمين.
• تقنية ClickFix للتصيد الاحتيالي:
• تعتمد هذه التقنية على خداع المستخدمين لتنفيذ سكربتات PowerShell عبر صفحات تحقق CAPTCHA مزيفة. هذه الطريقة تتجاوز أنظمة الحماية من خلال استغلال سلوك المستخدم في إصابة أجهزتهم بأنفسهم.

الآثار الأوسع وهجمات التصيد الاحتيالي

1. مخاطر مالية وتشغيلية مزدوجة:
2. خسائر مالية للشركات والأفراد بسبب اختراق الحسابات الإعلانية وأنظمة الدفع.
3. نشر برامج RAT ضارة:
4. تستخدم أساليب مثل طلبات Docusign المزيفة لنشر برمجيات مثل I2Parcae RAT و Venom RAT، مستهدفة الكيانات المالية والحكومية.
5. الهجمات الاجتماعية المستمرة:
6. تقنيات مثل ClickFix والرسائل المزيفة تستغل ثقة المستخدمين وضعف المنصات لنشر البرامج الضارة.

استراتيجيات الحماية

1. تحليل السلوك في الوقت الفعلي:
2. اكتشاف الأنشطة المشبوهة داخل التطبيقات ومنع التهديدات قبل تسريب البيانات.
3. التوعية بمخاطر التصيد الاحتيالي:
4. توعية المستخدمين بطرق مثل ClickFix وأهمية التحقق من صحة الإشعارات والمطالبات غير المتوقعة.
5. تعزيز أمان الحسابات الإعلانية:

• استخدام المصادقة الثنائية (MFA) على فيسبوك والمنصات التجارية الأخرى.
• مراجعة أذونات الوصول وتحديثها بانتظام.

1. استخدام أدوات كشف التهديدات المتقدمة:
2. تطبيق حلول أمان متقدمة للكشف عن التهديدات الديناميكية والتصدي لها.

الخلاصة

تطور NodeStealer وتزايد تعقيد الحملات ذات الصلة يبرز الحاجة الملحة لتبني دفاعات استباقية. يجب على المؤسسات تعزيز أدوات الكشف والاستجابة للتهديدات لحماية عملياتها وأصولها المالية من التهديدات الحديثة.