NodeStealer è un malware basato su Python che ha recentemente subito un aggiornamento, migliorando le sue capacità di estrarre dati sensibili dai conti Facebook Ads Manager delle vittime, inclusi i dati delle carte di credito memorizzati nei browser web. Questo è stato segnalato dagli esperti di Netskope Threat Labs, che hanno osservato che il malware sfrutta nuove tecniche per accedere ai dettagli di budget delle pubblicità su Facebook, potenzialmente aprendo la strada a malvertisement. Tra le nuove tecniche adottate, NodeStealer utilizza il Windows Restart Manager per sbloccare i file del database del browser, inserisce codice spazzatura e impiega uno script batch per generare ed eseguire dinamicamente lo script Python.

Inizialmente documentato da Meta nel maggio 2023, NodeStealer era originariamente un malware JavaScript, ma si è evoluto in un ladro Python capace di raccogliere dati relativi ai conti Facebook per facilitarne il controllo. Si ritiene che sia stato sviluppato da attori minacciosi vietnamiti, noti per utilizzare famiglie di malware che prendono di mira i conti pubblicitari e aziendali di Facebook per supportare altre attività dannose.

L'ultima analisi di Netskope evidenzia che gli artefatti di NodeStealer ora mirano ai conti Facebook Ads Manager, utilizzati per gestire campagne pubblicitarie su Facebook e Instagram, oltre ai conti aziendali di Facebook. Questo suggerisce che l'obiettivo degli attaccanti non sia solo il controllo dei conti Facebook, ma anche il loro utilizzo in campagne di malvertisement che diffondono ulteriormente il malware sotto le spoglie di software o giochi popolari.

I campioni di NodeStealer recentemente scoperti raccolgono i dettagli di budget del conto utilizzando l'API di Facebook Graph. Inizialmente, i campioni generano un token di accesso accedendo a adsmanager.facebook[.]com usando i cookie raccolti sul computer della vittima. Il malware evita di infettare i dispositivi in Vietnam, per eludere possibili azioni legali, sottolineando ulteriormente le sue origini.

Alcuni campioni di NodeStealer utilizzano il programma Windows Restart Manager per sbloccare i file del database SQLite, probabilmente usati da altri processi, nel tentativo di sottrarre dati delle carte di credito da vari browser web. L'esfiltrazione dei dati viene eseguita tramite Telegram, dimostrando che la piattaforma di messaggistica continua a essere un vettore cruciale per i cybercriminali nonostante i recenti cambiamenti nella sua politica.

Il malvertising tramite Facebook è un percorso di infezione redditizio che spesso impersona marchi fidati per diffondere vari tipi di malware. Un esempio recente è la campagna emersa all'inizio di novembre 2024, che ha imitato il software di gestione password Bitwarden attraverso annunci sponsorizzati su Facebook per installare un'estensione di Google Chrome fraudolenta.