En mayo de 2023, Meta, la empresa matriz de Facebook, hizo un descubrimiento alarmante: un malware denominado NodeStealer. En su origen, NodeStealer era un malware basado en JavaScript, pero con el tiempo ha evolucionado, adquiriendo habilidades más intrusivas. Actualmente, este software malicioso es capaz de robar cookies y contraseñas de navegadores web, lo que lo convierte en una amenaza importante para cuentas en plataformas cruciales como Facebook, Gmail y Outlook.
Aunque esta amenaza en sí misma es seria, recientemente ha tomado un giro aún más siniestro. Los perpetradores de NodeStealer han iniciado una campaña activa utilizando mensajes falsos para engañar a las víctimas y recolectar credenciales valiosas. Esta campaña está teniendo un impacto particularmente fuerte en el sur de Europa y América del Norte, con enfoque especial en sectores clave como tecnología y servicios de fabricación.
Esta situación no ha pasado desapercibida. Los expertos en seguridad de Netskope y la Unidad 42 de Palo Alto Networks han estado siguiendo de cerca estos ataques, advirtiendo sobre la gravedad de la situación. Además, han notado similitudes en las estrategias empleadas por los atacantes vietnamitas detrás de NodeStealer con las tácticas usadas por otras amenazas internacionales. Este nivel de adaptabilidad y flexibilidad es alarmante, ya que implica que los atacantes pueden ajustar su modus operandi para adaptarse a las defensas implementadas.
MODUS OPERANDI
Para comprender la gravedad de la situación, es esencial desglosar la forma en que funciona esta campaña. Los atacantes emplean mensajes fraudulentos a través de Facebook Messenger. Estos mensajes provienen de cuentas personales falsas y secuestradas, formando parte de una botnet. Los archivos ZIP o RAR adjuntos en estos mensajes contienen el malware NodeStealer, que se introduce sigilosamente en los dispositivos de las víctimas.
Este modus operandi sirve como el vector inicial para desencadenar las cadenas de intrusión de NodeStealer. Los archivos RAR, alojados en la red de entrega de contenido (CDN) de Facebook, contienen imágenes de productos defectuosos que actúan como señuelo. Los propietarios o administradores de páginas comerciales de Facebook son persuadidos para descargar la carga útil del malware.
Lee tambie9n: Plataforma de la Deep Web ofrece formularios de phishing de Android
Una vez que estos archivos son ejecutados, se inicia un script por lotes que abre el navegador web Chrome y lleva a la víctima a una página web aparentemente benigna. Mientras tanto, en segundo plano, se ejecuta un comando de PowerShell para recuperar cargas útiles adicionales, incluido el intérprete de Python y el malware NodeStealer.
Este malware va más allá de simplemente capturar credenciales y cookies de varios navegadores web. También está diseñado para recopilar metadatos del sistema y filtrar la información a través de Telegram, aumentando la gravedad de la amenaza.
Comparado con variantes anteriores, la nueva encarnación de NodeStealer utiliza archivos por lotes para descargar y ejecutar scripts de Python. Esto le permite robar credenciales y cookies de múltiples navegadores y para varios sitios web, ampliando así su alcance y potencial destructivo.
La gravedad de esta campaña radica en que podría ser la puerta de entrada a un ataque más dirigido en el futuro. Los atacantes han recopilado información valiosa, y aquellos que han caído víctimas del robo de cookies y credenciales de Facebook podrían enfrentar transacciones fraudulentas realizadas a través de las páginas comerciales legítimas.
En un mundo cada vez más digital, la seguridad en línea se vuelve primordial. Las organizaciones y los individuos deben estar vigilantes, implementar medidas de seguridad sólidas y estar al tanto de las últimas amenazas cibernéticas para proteger sus datos y su integridad en línea. Ante NodeStealer y amenazas similares, la conciencia y la preparación son clave para mantenernos seguros en el ciberespacio.
