- 9,412
- 18
- 8 Ноя 2022
Вредоносный Python душит ваш бизнес и заползает в криптокошельки.
Специалисты по кибербезопасности Для просмотра ссылки Войдиили Зарегистрируйся новую разновидность программы-вымогателя NodeStealer, написанную на Python . С помощью этого механизма хакеры могут без труда компрометировать коммерческие аккаунты на Facebook * и похищать криптовалюту.
Как сообщает компания Palo Alto Networks Unit 42, ранее неизвестный «штамм» был обнаружен в ходе киберкампании, начавшейся в декабре 2022 года. В настоящее время нет свидетельств того, что эта атака продолжается.
NodeStealer впервые описала компания Meta * в мае 2023 года, назвав его вредоносной программой, способной собирать пароли и куки-файлы из браузеров для взлома учетных записей Facebook*, Gmail и Outlook . Тогда образцы были написаны на JavaScript, а новые версии — уже на Python.
По словам исследователя Лиора Рошбергера из Unit 42, NodeStealer несет большую угрозу как для отдельных людей, так и для бизнеса. Помимо причинения финансового ущерба, программа ворует логины и пароли из браузеров, которые используются в дальнейших атаках.
Атаки начинаются с фишинговых сообщений о якобы бесплатных шаблонах для Excel и Google Таблиц. Жертвам предлагается скачать архив с Google Диска.
Внутри архива находится исполняемый файл NodeStealer. Он не только собирает данные об аккаунтах организаций, но и отключает антивирус Microsoft Defender, а также ворует криптовалюту с помощью учетных данных MetaMask .
Для загрузки вредоносного кода используется обход контроля учетных записей (UAC). Такой же метод применяют злоумышленники, распространяющие банковский троян Casbaneiro.
Кроме того, была обнаружена модифицированная версия NodeStealer с дополнительными функциями: парсинг писем из Outlook, антианалитические инструменты и даже попытки полного захвата аккаунтов.
После кражи данных NodeStealer отправляет их через Telegram API, а затем удаляет файлы, чтобы скрыть следы взлома.
Эксперты отмечают, что NodeStealer — часть растущего тренда среди мошенников из Вьетнама, которые стали часто взламывать бизнес-страницы на Facebook*.
Владельцам бизнес-аккаунтов рекомендуется использовать сложные пароли, двухфакторную аутентификацию и регулярно обучать сотрудников распознавать современные формы фишинга.
<span style="font-size: 8pt;">* Компания </span> Для просмотра ссылки Войдиили Зарегистрируйся <span style="font-size: 8pt;"> и продукты компании (Instagram и Facebook) признаны экстремистскими организациями; их деятельность запрещена на территории РФ.</span>
Специалисты по кибербезопасности Для просмотра ссылки Войди
Как сообщает компания Palo Alto Networks Unit 42, ранее неизвестный «штамм» был обнаружен в ходе киберкампании, начавшейся в декабре 2022 года. В настоящее время нет свидетельств того, что эта атака продолжается.
NodeStealer впервые описала компания Meta * в мае 2023 года, назвав его вредоносной программой, способной собирать пароли и куки-файлы из браузеров для взлома учетных записей Facebook*, Gmail и Outlook . Тогда образцы были написаны на JavaScript, а новые версии — уже на Python.
По словам исследователя Лиора Рошбергера из Unit 42, NodeStealer несет большую угрозу как для отдельных людей, так и для бизнеса. Помимо причинения финансового ущерба, программа ворует логины и пароли из браузеров, которые используются в дальнейших атаках.
Атаки начинаются с фишинговых сообщений о якобы бесплатных шаблонах для Excel и Google Таблиц. Жертвам предлагается скачать архив с Google Диска.
Внутри архива находится исполняемый файл NodeStealer. Он не только собирает данные об аккаунтах организаций, но и отключает антивирус Microsoft Defender, а также ворует криптовалюту с помощью учетных данных MetaMask .
Для загрузки вредоносного кода используется обход контроля учетных записей (UAC). Такой же метод применяют злоумышленники, распространяющие банковский троян Casbaneiro.
Кроме того, была обнаружена модифицированная версия NodeStealer с дополнительными функциями: парсинг писем из Outlook, антианалитические инструменты и даже попытки полного захвата аккаунтов.
После кражи данных NodeStealer отправляет их через Telegram API, а затем удаляет файлы, чтобы скрыть следы взлома.
Эксперты отмечают, что NodeStealer — часть растущего тренда среди мошенников из Вьетнама, которые стали часто взламывать бизнес-страницы на Facebook*.
Владельцам бизнес-аккаунтов рекомендуется использовать сложные пароли, двухфакторную аутентификацию и регулярно обучать сотрудников распознавать современные формы фишинга.
<span style="font-size: 8pt;">* Компания </span> Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
