网络安全研究人员报告称,发现了一种之前未被识别的网络钓鱼活动,正在传播两种用Python编写的信息盗窃病毒,目标锁定为Facebook商业账户。
来自帕洛阿尔托网络的Unit 42的研究人员在周二的报告中提到,他们在调查针对Facebook商业账户的网络威胁时,发现了NodeStealer恶意软件的Python变种。这些网络钓鱼诱饵通常使用商业工具,比如电子表格模板,以吸引用户上当。
Meta在5月份的一篇博客文章中描述了NodeStealer,指出该恶意软件是用JavaScript编写的,允许攻击者窃取浏览器的Cookies,从而劫持平台账户。
Python版本在原来的基础上进行了改进,增加了对加密货币的盗窃能力、下载器功能以及完全控制Facebook商业账户的能力。
“NodeStealer对个人和组织都构成了很大的风险,”Unit 42的Lior Rochberger写道。“除了对Facebook商业账户的直接财务影响外,该恶意软件还窃取浏览器中的凭证,这些凭证可能用于进一步的攻击。”
Unit 42的研究人员表示,这一活动始于2022年12月,但目前已经不再活跃。然而,他们认为,背后黑客仍可能会继续演化NodeStealer或采用类似技术,继续针对Facebook商业账户。
变种一是名为“Peguis”的“wordexe”文件,执行多个进程,包括窃取Facebook商业账户信息、下载额外恶意软件、禁用Windows Defender以及窃取MetaMask加密货币钱包。
变种二内部被称为“MicrosofOfficeexe”,同样目标为账户信息和MetaMask钱包。与第一种变种不同之处在于,它尝试控制Facebook账户,实施反分析功能并窃取电子邮件。
黑洞加速器安卓下载NodeStealer和Ducktail这两种信息盗窃恶意软件被怀疑源自越南的网络威胁行为者。
