Die Bitdefender Labs beobachten aktuelle professionelle Malvertising-Kampagnen, um Facebook (Meta)-Accounts anzugreifen. Vor allem Männer ab 45 Jahren sind Zielgruppe für Links auf Fotoalben mit Bildern junger Frauen, von denen sie dann die versteckte Malware „NodeStealer“ herunterladen. Die Hacker gehen professionell vor und nutzen das Facebook-Ad-Netz und Meta-Ad-Manager in gekaperten Business-Accounts zum Verbreiten der Malware. In der vom 10. bis 20. Oktober 2023 durchgeführten Analyse beobachteten die Experten mindestens zehn kompromittierte Business-Profile, die weiterhin im Sinne der Angreifer aktiv sind – bei unbekannter Dunkelziffer. Die Bitdefender Labs schätzen, dass eine einzige infizierte Anzeige 100.000 Malware-Downloads ermöglicht und nach dem Rollout tatsächlich innerhalb von 24 Stunden 15.000 Downloads erreicht.
Im ersten Schritt manipulieren die Cyberkriminellen die Guthaben der kompromittierten Business-Accounts, um über Facebook-Anzeigen die Nodestealer-Malware zu verbreiten. Vorselektierte Zielgruppe sind dabei Männer von 18 bis 65 in Europa, Afrika und der Karibik. Am stärksten stehen Männer ab 45 Jahren im Fokus der betrügerischen Kampagnen. Hacker bewerben zum Beispiel eine Facebook-Seite „Album Update”, die neue Bilder von Frauen verspricht. Opfer, die diese Bilder herunterladen wollen, landen in einer Bitbucket- oder Gitlab-Repository. Eine sich dort befindende ausführbare Windows-Datei fungiert als Dropper für eine aktuelle Version der Nodestealer-Malware.
Cybersicherheitsforscher von Meta haben Nodestealer im Januar 2023 entdeckt. Das Tool für den Zugriff auf persönliche Daten erlaubt das Auslesen von Browser-Cookies und die Übernahme von Nutzeraccounts im großen Umfang. Die ersten Kampagnen mit Nodestealer kommunizierten im Facebook-Messenger mit den Opfern, um Business-Konten zu übernehmen. Dabei umgingen die Hacker auch Sicherheitsmaßnahmen wie eine Zwei-Faktor-Authentifikation. Die von den Bitdefender Labs Nodestealer 2.1 genannte und in Node verfasste Malware verfügt über zusätzliche Funktionalitäten. Sie kann nun unerlaubt in Gmail und Outlook eindringen und weiteren bösartigen Payload herunterladen. Hacker haben unter Umständen auch Zugriff auf die Krypto-Wallets der Nutzer und können über diese verfügen.
Nach dem Auslesen der Nutzer-Cookies übernehmen die Angreifer den Facebook-Account der Opfer. Sie können jetzt versuchen, Passwörter zu ändern, den berechtigten Nutzer mit anderen missbräuchlich verwendeten Sicherheitsmaßnahmen vom Zugriff auf sein Konto vollständig abzuschneiden und mit Betrug enormen finanziellen Schaden verursachen.
Den grundsätzlichsten Schutz gegen Nodestealer stellt eine aktualisierte IT-Sicherheitslösung dar. Zudem sollten Nutzer bei all ihren Online-Aktionen vorsichtig agieren. Unaufgefordert zugesendeten Links sollten sie nicht unüberlegt folgen. Dies gilt insbesondere für aufdringliche Aufrufe zum Öffnen von Media-Dateien mit Erwachseneninhalten. Angesichts der aktuellen Kampagne warnen die Nutzer vor allem vor Anzeigen, die auf Bitbucket-, Gitlab- oder Dropbox-Fotoalben verweisen.
Info: Die vollständige Studie der Bitdefender Labs unter: https://www.bitdefender.com/blog/labs/nodestealer-attacks-on-facebook-take-a-provocative-turn-threat-actors-deploy-malvertising-campaigns-to-hijack-users-accounts/ .
#Bitdefender
