安全廠：新數(shù)據(jù)竊取意程序已能完全掌控Facebook商業(yè)賬號

Palo Alto Networks威脅情報(bào)小組Unit 42在最新的博客文章中表示，發(fā)現(xiàn)一項(xiàng)從未被通報(bào)過的網(wǎng)絡(luò)釣魚攻擊行動(dòng)，目的為傳播數(shù)據(jù)竊取程序。該程序偽裝成試算表范本等辦公工具的惡意連接，可借此取得Facebook商業(yè)賬號控制權(quán)。

這個(gè)新變種（NodeStealer 2.0，以Python編寫）不同于Meta于2023年5月通報(bào)的版本，可竊取加密貨幣，并使用Telegram外泄數(shù)據(jù)?？煽闯龉粽咭訤acebook商業(yè)賬號為目標(biāo)的趨勢日益明顯，目的在于進(jìn)行廣告欺詐并獲取經(jīng)濟(jì)利益。

Unit 42指出，該新變種主要感染途徑為2022年12月的網(wǎng)絡(luò)釣魚攻擊行動(dòng)，攻擊者借此傳遞惡意程序1號與2號變種，并利用多個(gè)Facebook頁面和用戶作為資訊發(fā)布渠道，誘騙受害者下載來自已知云計(jì)算文件存儲供應(yīng)商的連接。點(diǎn)擊連接后會下載一個(gè)包含惡意數(shù)據(jù)竊取程序.exe執(zhí)行文件的.zip壓縮文件。

1號變種的攻擊手段相當(dāng)高調(diào)，會創(chuàng)建各種可能遭視為異?；顒?dòng)的處理程序，包括強(qiáng)制關(guān)閉圖形化用戶接口（GUI）上的快顯窗口。然而2號變種的攻擊更加分散，增加了識別惡意活動(dòng)的難度。

通過使用受害者的用戶ID和訪問權(quán)限，這兩種變種都可連接至Meta Graph API竊取Facebook商業(yè)賬號憑證。Graph API是管理數(shù)據(jù)進(jìn)出Facebook的主要方式，可以用程序化方式查詢數(shù)據(jù)、發(fā)布貼文、管理廣告等。攻擊者會使用Graph API竊取目標(biāo)對象的關(guān)注者數(shù)量、用戶驗(yàn)證狀態(tài)、賬號是否使用預(yù)付服務(wù)等資訊，并發(fā)送至命令與控制服務(wù)器（C2）。攻擊者也會試圖查看常用瀏覽器的cookie和本機(jī)數(shù)據(jù)庫以竊取登錄憑證。

2號變種則更進(jìn)一步，將真正用戶的電子郵件地址改為網(wǎng)絡(luò)攻擊者控制的信箱，讓用戶永遠(yuǎn)無法訪問賬號。

Palo Alto Networks臺灣區(qū)總經(jīng)理尤惠生表示，網(wǎng)絡(luò)營銷和廣告是如今多數(shù)企業(yè)的核心。利用NodeStealer 2.0的2號變種，網(wǎng)絡(luò)攻擊者可以更改電子郵件地址，并讓用戶永遠(yuǎn)無法訪問賬號。不當(dāng)使用賬號抵用金或發(fā)布不當(dāng)內(nèi)容，可能會導(dǎo)致大規(guī)模的財(cái)務(wù)和聲譽(yù)損失。而Facebook的使用群體年齡層偏大，對科技可能較陌生，更容易成為攻擊目標(biāo)。

尤惠生指出，若想防范NodeStealer及其各類變種，組織需要審視防護(hù)政策，留意Unit 42提供的入侵指標(biāo)（IoC）。重點(diǎn)在于要采取主動(dòng)措施，教育員工防范現(xiàn)代網(wǎng)絡(luò)釣魚策略，這些策略利用時(shí)事、業(yè)務(wù)需求和其他具吸引力的主題。

（首圖來源：shutterstock）