Sicherheitsexperten warnen vor einer aktualisierten Version des Python-basierten NodeStealer, die nun in der Lage ist, umfangreichere Daten von Facebook Ads Manager-Konten der Opfer zu extrahieren, einschließlich Kreditkartendaten, die in Webbrowsern gespeichert sind.

Hauptbedrohungen durch NodeStealer

1. Missbrauch von Facebook Ads Manager-Konten:
2. Die Malware sammelt Budgetinformationen und geschäftsbezogene Daten, um die Konten für bösartige Werbekampagnen (Malvertising) zu nutzen.
3. Fortschrittliche Techniken von NodeStealer:

• Einsatz des Windows Restart Manager, um Datenbankdateien des Browsers zu entsperren.
• Hinzufügen von nutzlosem Code, um den schädlichen Code zu verschleiern.
• Dynamische Generierung und Ausführung von Python-Skripten über Batch-Skripte.

1. Datenexfiltration über Telegram:
2. Telegram bleibt ein bevorzugtes Werkzeug für Angreifer, um gestohlene Daten zu übertragen.
3. Schädliche Werbung als Verbreitungsweg:
4. Über gefälschte Anzeigen, die seriöse Marken imitieren, wird Malware verteilt. Ein Beispiel ist eine Kampagne vom November 2024, bei der Bitwarden vorgetäuscht wurde, um bösartige Chrome-Erweiterungen zu installieren.

Ursprung und Entwicklung von NodeStealer

NodeStealer wurde erstmals im Mai 2023 von Meta als JavaScript-basierte Malware identifiziert. Später entwickelte es sich zu einer Python-basierten Schadsoftware. Experten gehen davon aus, dass vietnamesische Bedrohungsakteure hinter der Entwicklung stehen, die bekannt dafür sind, Malware zur Übernahme von Facebook-Werbe- und Geschäftskonten einzusetzen.

Kernfunktionen von NodeStealer

1. Übernahme von Facebook Business-Konten:
2. NodeStealer nutzt die Facebook Graph API, um mithilfe gestohlener Cookies Zugriffstoken zu generieren und auf sensible Kontodaten zuzugreifen.
3. Vermeidung von Strafverfolgung:
4. Die Malware enthält Mechanismen, die eine Infektion von Systemen in Vietnam verhindern, was auf Bemühungen hindeutet, rechtliche Konsequenzen zu umgehen.
5. Diebstahl von Kreditkartendaten:
6. Durch das Entsperren von SQLite-Datenbanken im Browser versucht die Malware, auf gespeicherte Kreditkartendaten und andere sensible Informationen zuzugreifen.

Neue Kampagnen und bösartige Taktiken

• Gefälschte Werbung und Identitätsdiebstahl:
• Jüngste Kampagnen nutzen Facebook-Anzeigen, um bekannte Marken wie Bitwarden nachzuahmen und Schadsoftware zu verbreiten.
• ClickFix-Technik im Phishing:
• Diese Technik täuscht Benutzer durch gefälschte CAPTCHA-Seiten, die sie dazu bringen, PowerShell-Skripte auszuführen, was Sicherheitskontrollen umgeht und die Benutzer selbst zur Infektion ihrer Systeme verleitet.

Breitere Auswirkungen und Phishing-Bedrohungen

1. Finanzielle und geschäftliche Risiken:
2. Unternehmen und Einzelpersonen könnten durch gestohlene Werbebudgets oder kompromittierte Geschäftskonten erhebliche finanzielle Verluste erleiden.
3. Verbreitung von RAT-Malware:
4. Mithilfe von gefälschten E-Mails und Dokumentanforderungen werden schädliche Programme wie I2Parcae RAT oder Venom RAT verteilt, die sensible Daten stehlen und Fernzugriff ermöglichen.
5. Social-Engineering-Angriffe:
6. Techniken wie ClickFix und gefälschte Nachrichten nutzen das Vertrauen der Benutzer und die Schwächen von Plattformen aus, um Schadsoftware zu verbreiten.

Schutzmaßnahmen

1. Echtzeit-Verhaltensanalyse:
2. Tools, die das Verhalten von Anwendungen überwachen, können verdächtige Aktivitäten erkennen und Angriffe stoppen, bevor Daten gestohlen werden.
3. Sensibilisierung für Phishing-Techniken:
4. Benutzer sollten über Techniken wie ClickFix und die Gefahr gefälschter CAPTCHA-Anfragen informiert werden.
5. Verbesserung der Kontosicherheit:

• Aktivierung von Zwei-Faktor-Authentifizierung (2FA) für Facebook-Konten.
• Regelmäßige Überprüfung und Aktualisierung von Berechtigungen.

1. Einsatz moderner Sicherheitslösungen:
2. Fortgeschrittene Tools zur Bedrohungserkennung sollten implementiert werden, um dynamische Angriffe effektiv zu bekämpfen.

Fazit

Die Weiterentwicklung von NodeStealer und die zunehmende Komplexität der zugehörigen Kampagnen zeigen deutlich die Notwendigkeit einer proaktiven Sicherheitsstrategie. Unternehmen müssen fortschrittliche Technologien einsetzen, um Angriffe zu erkennen und abzuwehren, bevor Schäden entstehen.