安全廠：新數(shù)據(jù)竊取意程序已能完全掌控Facebook商業(yè)賬號

Palo Alto Networks威脅情報小組Unit 42在最新的博客文章中表示，發(fā)現(xiàn)一項從未被通報過的網(wǎng)絡(luò)釣魚攻擊行動，目的為傳播數(shù)據(jù)竊取程序。該程序偽裝成試算表范本等辦公工具的惡意連接，可借此取得Facebook商業(yè)賬號控制權(quán)。

這個新變種（NodeStealer 2.0，以Python編寫）不同于Meta于2023年5月通報的版本，可竊取加密貨幣，并使用Telegram外泄數(shù)據(jù)?？煽闯龉粽咭訤acebook商業(yè)賬號為目標的趨勢日益明顯，目的在于進行廣告欺詐并獲取經(jīng)濟利益。

Unit 42指出，該新變種主要感染途徑為2022年12月的網(wǎng)絡(luò)釣魚攻擊行動，攻擊者借此傳遞惡意程序1號與2號變種，并利用多個Facebook頁面和用戶作為資訊發(fā)布渠道，誘騙受害者下載來自已知云計算文件存儲供應商的連接。點擊連接后會下載一個包含惡意數(shù)據(jù)竊取程序.exe執(zhí)行文件的.zip壓縮文件。

1號變種的攻擊手段相當高調(diào)，會創(chuàng)建各種可能遭視為異?；顒拥奶幚沓绦?，包括強制關(guān)閉圖形化用戶接口（GUI）上的快顯窗口。然而2號變種的攻擊更加分散，增加了識別惡意活動的難度。

通過使用受害者的用戶ID和訪問權(quán)限，這兩種變種都可連接至Meta Graph API竊取Facebook商業(yè)賬號憑證。Graph API是管理數(shù)據(jù)進出Facebook的主要方式，可以用程序化方式查詢數(shù)據(jù)、發(fā)布貼文、管理廣告等。攻擊者會使用Graph API竊取目標對象的關(guān)注者數(shù)量、用戶驗證狀態(tài)、賬號是否使用預付服務等資訊，并發(fā)送至命令與控制服務器（C2）。攻擊者也會試圖查看常用瀏覽器的cookie和本機數(shù)據(jù)庫以竊取登錄憑證。

2號變種則更進一步，將真正用戶的電子郵件地址改為網(wǎng)絡(luò)攻擊者控制的信箱，讓用戶永遠無法訪問賬號。

Palo Alto Networks臺灣區(qū)總經(jīng)理尤惠生表示，網(wǎng)絡(luò)營銷和廣告是如今多數(shù)企業(yè)的核心。利用NodeStealer 2.0的2號變種，網(wǎng)絡(luò)攻擊者可以更改電子郵件地址，并讓用戶永遠無法訪問賬號。不當使用賬號抵用金或發(fā)布不當內(nèi)容，可能會導致大規(guī)模的財務和聲譽損失。而Facebook的使用群體年齡層偏大，對科技可能較陌生，更容易成為攻擊目標。

尤惠生指出，若想防范NodeStealer及其各類變種，組織需要審視防護政策，留意Unit 42提供的入侵指標（IoC）。重點在于要采取主動措施，教育員工防范現(xiàn)代網(wǎng)絡(luò)釣魚策略，這些策略利用時事、業(yè)務需求和其他具吸引力的主題。

（首圖來源：shutterstock）