Команда Trend Micro Managed XDR обнаружила усовершенствованный вариант вредоносной программы NodeStealer на базе языка Python, целью которого теперь являются учетные записи Facebook Ads Manager, данные кредитных карт и хранящиеся в браузере данные. Вредоносная программа использовалась в кампании против образовательного учреждения в Малайзии и была связана с вьетнамской угрожающей группой, о чем можно судить по паролю, использованному для сжатия вредоносных файлов. Кампания была инициирована с помощью фишинговых писем на языке Bahasa Melayu с плохо переведенными строками темы.
NodeStealer Malware
Цепочка заражения начинается с вредоносной ссылки в письме, которая загружает zip-файл, содержащий исполняемый файл, замаскированный под программу для чтения PDF-файлов. Этот исполняемый файл загружает вредоносную DLL, которая запускает пакетный файл с закодированной командой PowerShell. Команда PowerShell выполняет несколько действий для обеспечения устойчивости, включая создание ярлыка папки запуска с именем WindowsSecurity.lnk, а также загрузку и выполнение конечной полезной нагрузки в памяти.
Полезная нагрузка, infostealer, предназначена для сбора конфиденциальной информации с помощью сложного метода, включающего вредоносный скрипт Python, который выполняет байткод Python непосредственно для расшифровки другой двоичной строки. Похищенные данные, включая информацию из аккаунтов Facebook Ads Manager, собираются в zip-архив и передаются через Telegram по определенной ссылке. Эта кампания демонстрирует передовые методы, используемые злоумышленниками для обхода защитных систем и скрытой эксфильтрации конфиденциальной информации.
Indicators of Compromise
URLs
- http://88.216.99.5:15707/entry.txt
- https://t.ly/MRAbJ
SHA256
- 1c9c7bb07acb9d612af2007cb633a6b1f569b197b1f93abc9bd3af8593e1ec66
- 786db3ddf2a471516c832e44b0d9a230674630c6f99d3e61ada6830726172458
- f813da93eed9c536154a6da5f38462bfb4ed80c85dd117c3fd681cf4790fbf71