Phishing-campagne richtte zich op overname zakelijke Facebook-accounts

Door middel van een phishing-aanbieding van tools zoals spreadsheetsjablonen werd een nieuwe infostealer verspreid: NodeStealer. Via NodeStealer konden bedreigingsactoren browsercookies stelen om accounts op het platform te kapen, met name zakelijke accounts. 

Deze observatie maakt volgens de onderzoekers deel uit van een groeiende trend die rond juli 2022 opdook met de ontdekking van de Ducktail infostealer. Sindsdien richten bedreigingsactoren zich steeds vaker op zakelijke Facebook-accounts - voor advertentiefraude en andere doeleinden.

Mogelijkheid volledige overname

Unit 42 stelt dat NodeStealer bestaat uit twee varianten die zijn geschreven in Python en verbeterd zijn met extra functies ten gunste van de betrokken cybercriminelen. De dreigingsactor rust deze varianten uit met mogelijkheden om cryptocurrency te stelen, downloadmogelijkheden en de mogelijkheid om zakelijke Facebook-accounts volledig over te nemen.

NodeStealer vormt een groot risico voor zowel individuen als organisaties, benadrukt Unit 42. Naast de directe impact op zakelijke Facebook-accounts, die voornamelijk financieel is, steelt de malware ook gegevens van browsers, die gebruikt kunnen worden voor verdere aanvallen.

Blijvende aanvallen

Hoewel de hierboven omschreven campagne niet meer actief is, heeft Unit 42 aanwijzingen dat de actoren die achter deze campagne schuilgaan NodeStealer kunnen blijven gebruiken en ontwikkelen, of vergelijkbare technieken kunnen gebruiken om zakelijke Facebook-accounts te blijven aanvallen. Het is ook mogelijk dat er nog steeds gevolgen zijn voor eerder aangetaste organisaties.