Une nouvelle version de NodeStealer vise le Facebook Ads Manager
Une récente enquête menée par l’équipe Managed XDR de Trend Micro a révélé que la variante mise à jour du malware NodeStealer, désormais basé sur Python, est diffusée par le biais d’attaques de spear-phishing. Cela peut conduire à l’exécution de malwares, au vol de données et à l’exfiltration d’informations sensibles via Telegram.
La version actualisée de NodeStealer a évolué, passant d’une menace basée sur JavaScript à un outil plus performant capable de dérober un éventail plus large de données sensibles. Identifiée dans une campagne malveillante ciblant un établissement éducatif en Malaisie, cette menace est associée à un groupe de cybercriminels vietnamiens. Parmi ses nouvelles cibles figurent les comptes Facebook Ads Manager, où elle vise des informations financières et commerciales essentielles.
Le processus d’infection débute par un courriel de spear-phishing contenant un lien malveillant. En cliquant sur ce lien, l’utilisateur télécharge un fichier malveillant se présentant comme une application légitime. NodeStealer utilise des techniques avancées telles que le sideloading de DLL et des commandes PowerShell encodées pour contourner les défenses de sécurité et exécuter le payload final, tout en exfiltrant les données via Telegram.
La sophistication croissante de NodeStealer souligne l’importance d’une vigilance accrue et de mesures de cybersécurité robustes pour se prémunir contre de telles menaces.
Bon à savoir
- Éducation des utilisateurs : Il est crucial d’informer les utilisateurs sur les signes révélateurs des attaques de phishing et les tactiques utilisées par les cybercriminels.
- Vérification des sources d’e-mails : Soyez prudent avec les e-mails provenant d’expéditeurs inconnus ou douteux, en particulier ceux contenant des liens ou des pièces jointes.
- Mises à jour du logiciel de sécurité : Assurez-vous que vos outils de sécurité sont régulièrement mis à jour pour détecter les dernières menaces.