標題：新型網絡釣魚活動可以完全接管攻擊Facebook的商業賬戶

Unit 42的研究人員最近發現了一個以前未被報導的網絡釣魚活動，該活動傳播了一個信息竊取器，該信息竊取器可以完全接管攻擊目標Facebook的商業賬戶。 Facebook的商業賬戶受到了網絡釣魚誘餌的攻擊，這些誘餌提供了商業電子表格模板等工具。這是攻擊者以Facebook商業賬戶為目標的日益增長的趨勢的一部分，目的是廣告欺詐和其他目的，這一趨勢在2022年7月左右隨著Ducktail信息竊取者的發現而出現。

大約8個月後，即2023年3月，據報導，偽裝成ChatGPT Chrome擴展的新變種FakeGPT竊取了Facebook廣告帳戶。 Unit 42還報導了2023年4月以ChatGPT為主題的詐騙攻擊。 2023年5月，Meta發布了一份名為NodeStealer的新信息竊取惡意軟件報告，該報告描述了2022年7月編譯的惡意軟件和2023年1月發現的涉及NodeSteiler的惡意活動。 NodeStealer允許攻擊者竊取瀏覽器cookie來劫持平台上的賬戶，特別是針對商業賬戶。

在調查這一增長趨勢時，研究人員發現了一場始於2022年12月左右的活動，此前沒有被報導過。

在活動中傳播的信息竊取器與Meta分析的2022年7月用JavaScript編寫的NodeStealer變體有許多相似之處。然而，新的攻擊活動涉及兩個用Python編寫的變體，這些變體使用額外的功能進行了改進，攻擊者為這些變體配備了加密貨幣竊取功能、下載功能和完全接管Facebook商業賬戶的功能。

NodeStealer給個人和組織帶來了巨大的風險。除了對Facebook商業賬戶（主要是金融賬戶）的直接影響外，該惡意軟件還竊取瀏覽器的憑證，這些憑證可用於進一步的攻擊。

在本文中，我們將介紹一些未報導的針對Facebook商業賬戶的網絡釣魚活動，並將對惡意軟件進行深入分析。此外，我們將通過Cortex XDR（設置為僅檢測模式）的方式展示惡意軟件的操作過程。我們將為Facebook商業賬戶所有者如何保護他們的賬戶提供建議。雖然這一活動不再活躍，但有跡象表明，其背後的攻擊者可能會繼續使用和發展NodeStealer，或使用類似技術繼續針對Facebook商業賬戶。也有可能對以前受到該攻擊的組織進行持久性攻擊。

網絡釣魚活動從分析數據來看，信息竊取者的主要攻擊手段是網絡釣魚活動。網絡釣魚活動發生在2022年12月，提供了兩種信息竊取的變體，為了方便講解，我們在本文中將其稱為變體#1和變體#2。

此次活動的主題是為企業提供廣告材料。該攻擊者使用多個Facebook頁面和用戶發布信息，誘導受害者從已知的雲文件存儲提供商那裡下載鏈接。點擊後，一個.zip文件被下載到設備上，其中包含惡意的信息竊取程序可執行文件。

Facebook釣魚帖子誘導受害者下載受感染的.zip文件

變體#1分析該活動中信息竊取程序的第一個變體在內部命名為word.exe。它是用Nuitka編譯的，攻擊者為文件使用了一個唯一的產品名稱：Peguis。

word.exe的元數據

變體#1的進程樹非常“嘈雜”，這意味著它創建了多個進程並執行了許多被認為是異常活動的指示的操作，並且不是非常秘密，包括呈現給用戶的彈出窗口。

主要功能如上所述，NodeStealer的目標是Facebook的商業賬戶。變體#1有一些額外的功能，這使它能夠實現以下功能：

竊取Facebook商業賬戶信息；

下載其他惡意軟件；

通過GUI（圖形用戶界面）禁用Windows Defender；

MetaMask（加密貨幣錢包）盜竊；

竊取Facebook商業賬戶信息。

惡意軟件執行時的第一件事是檢查是否有Facebook商業帳戶登錄到受感染設備的默認瀏覽器。它通過連接到https://business.facebook.com/ads/ad_limits/並檢查標頭來實現這一點。

使用Facebook的Graph API竊取信息

如果確實有一個Facebook商業帳戶登錄，惡意軟件會連接到Graph API（Graph.Facebook.com），並通過標頭竊取用戶ID和訪問令牌。

根據Meta的說法，“Graph API是將數據輸入和輸出Facebook平台的主要方式。這是一個基於http的API，應用程序可以使用它以編程方式查詢數據、發布新故事、管理廣告、上傳照片以及執行各種各樣的其他任務。”

NodeSteiler使用Graph API來竊取目標的信息，包括：關注者數量、用戶驗證狀態、帳戶信用餘額、帳戶是否預付以及廣告信息。

惡意軟件還通過向https://www.facebook.com/ajax/bootloader-endpoint/?modules=AdsLWIDescribeCustomersContainer.react發送請求來獲取Facebook JavaScript模塊adslwidcribecustomerscontainer的內容。

該JavaScript模塊是Facebook廣告平台的一部分，用於描述和管理Facebook廣告中的自定義受眾。自定義受眾允許廣告商根據特定人群的人口統計、興趣、行為或其他標準瞄準特定人群，惡意軟件竊取這些信息並將其發送到其命令和控制服務器（C2）。

除了竊取有關Facebook商業賬戶的信息外，該惡意軟件還旨在竊取這些賬戶的憑證。為了做到這一點，它會在以下瀏覽器的cookie和本地數據庫中檢查Facebook用戶和密碼：Chrome、Edge、Cốc cốc、 Brave和Firefox。

從瀏覽器的數據庫中竊取密碼

NodeStealer執行的警報，如Cortex XDR所示

然後惡意軟件通過Telegram洩露輸出文件並刪除文件以消除其踪跡：

通過Telegram盜取

跟踪並刪除NodeStealer

下載其他惡意軟件變體#1被配置為從以下URL下載兩個.zip文件：

hxxps://tinyurl[.]com/batkyc，重定向到hxxp://adgowin66[.]site/ratkyc/4/bat.zip；

hxxps://tinyurl[.]com/ratkyc2，重定向到hxxp://adgowin66[.]site/ratkyc/4/ratkyc.zip；

Bat.zip包含禁用Windows Defender的ToggleDefender批處理腳本，Ratkyc.zip包含三個惡意軟件：

名為COM Surrogate.exe的BitRAT；

一種名為Antimalware Service Executable.exe的隱藏虛擬網絡計算（hVNC）RAT；

XWorm命名的Windows Tasks.exe主機進程；

為了下載.zip文件，惡意軟件實現了FodHelper UAC繞過。使用此方法，攻擊者試圖繞過用戶帳戶控制（UAC）並執行用於下載上述zip文件的PowerShell腳本。

FodHelper UAC繞過NodeStealer中的編碼命令

base64壓縮後的命令翻譯如下：

以下是當Cortex XDR設置為僅檢測模式時，變體#1的執行流程：

變體#1的執行流程，如Cortex XDR中所示，設置為僅檢測模式

下載並提取文件後，NodeStealer通過註冊表運行鍵為三個惡意軟件（BitRAT、hVNC RAT和XWorm）以及自己的二進製文件（word.exe）設置持久性。

通過GUI禁用Windows Defender除了ToggleDefender批處理腳本之外，變體#1還使用了另一種技術來禁用Windows Defender，這次使用的是GUI。這是一種非常嘈雜的方法，因為最終用戶將能夠看到Windows Defender GUI在設備上彈出，並且惡意軟件會將其禁用。

用於打開GUI和禁用WindowsDefender的命令如下圖所示。

用於禁用Windows Defender的命令

MetaMask竊取該惡意軟件還試圖通過竊取Chrome、Cốc Cốc和Brave瀏覽器的MetaMask證書來實現經濟利益最大化。

MetaMask是通過瀏覽器訪問以太坊錢包的擴展。通過竊取此應用程序的憑證，攻擊者可以從用戶的錢包中竊取加密貨幣。

正如它在竊取Facebook cookie和憑證時所做的那樣，該惡意軟件提取了用於存儲瀏覽器信息的本地數據庫。它在其中搜索擴展nkbihfbeogaeaeahlefnkodbefgpgknn，這是直接從擴展庫安裝MetaMask時的擴展。

然後，惡意軟件將數據複製到一個文件中，並使用Telegram將其洩露出去，就像它對Facebook憑證所做的那樣。

從Brave瀏覽器竊取MetaMask憑證

變體#2分析該活動中的第二個版本內部命名為MicrosofOffice.exe，並與第一個版本一樣使用Nuitka進行編譯。但與第一種變體不同，它不會對毫無戒心的用戶產生大量可見的活動。對於這種變體，攻擊者使用了產品名稱“Microsoft corporation”（最初是惡意軟件開發者拼錯的）。

變體#2的元數據偽裝成MicrosofOffice.exe

主要功能與第一個變體一樣，變體#2以Facebook商業賬戶信息和MetaMask錢包為目標，但它的功能更近一步：

試圖接管Facebook帳戶；

實現反分析功能；

竊取電子郵件；

接管Facebook帳戶；

變體#2試圖購買由合法越南網站（hotmailbox[.]me）提供的在線電子郵件服務。

它試圖使用一個嵌入式API密鑰來實現這一點，該密鑰保存特定服務的信用餘額：https://api.hotmailbox[.]me/mail/buy?apikey=mailcode=HOTMAILquantity=1。

向hotmailbox[.]me購買郵箱服務

惡意軟件使用的API密鑰的信用餘額

如果購買嘗試失敗，惡意軟件再次嘗試使用持有專用信用餘額的API密鑰從另一個越南網站（dongwanfb[.]net）購買郵箱服務：https://api.dongvanfb[.]net/user/buy?apikey=

向dongvanfb[.]net購買郵箱服務

如果購買嘗試成功，惡意軟件將保存新郵箱的電子郵件和密碼，這些郵箱將在活動的下一階段使用。

接下來，惡意軟件使用不需要驗證密碼的技術修改受害者Facebook商業帳戶的帳戶電子郵件地址，使用以下URL: https://www.facebook[.]com/add_contactpoint/dialog/submit/。

如果需要，惡意軟件會通過電子郵件向https://getcode.hotmailbox[.]me地址發送獲取Facebook驗證碼的請求。

用於向hotmailbox[.]me請求Facebook身份驗證碼的代碼

然後，惡意軟件檢查更新後的電子郵件，查看修改是否成功：

查看Facebook賬戶的更新郵件

如果成功，攻擊者現在已經通過將合法用戶的電子郵件地址替換為他們控制的郵箱來接管Facebook帳戶。

讀取電子郵件此外，該惡意軟件還具有解析電子郵件的功能，因此它可以讀取受害者的電子郵件。雖然我們沒有直接觀察到此類活動，但攻擊者添加此功能可能會干擾任何通知受害者配置更改的Facebook警報。

負責讀取電子郵件的功能

反分析和反虛擬機的功能在分析的變體#2的幾個樣本中，攻擊者添加了一個簡單的功能來檢查是否存在惡意軟件分析工具和虛擬機進程。如果其中一個正在系統上運行，惡意軟件就會自行終止。

反分析和反虛擬機的功能

NodeSteiner變體之間的差異如上所述，本文分析的NodeStealer的兩個變體之間有相似之處，但也有許多不同之處。下表比較了Meta報告的版本中NodeStealer的主要功能，以及不同變體中的主要功能：

NodeSteiner變體之間的差異比較

越南攻擊者有趣的是，Ducktail和NodeStealer之前都被Meta懷疑是來自越南的攻擊者。 NodeStealer惡意軟件與越南攻擊者之間的可疑聯繫可以用不同的方式解釋。

第一個可能表明這種聯繫的發現是，在本文分析的兩個變體的Python腳本中，我們遇到了許多越南語字符串。

在NodeStealer中找到的字符串“TongChiTieu”的翻譯

在NodeStealer中找到的字符串“ThoiGianCheck”的翻譯

懷疑與越南攻擊者有聯繫的第二個跡像是，攻擊者的目標是一個名為Cốc Cốc的瀏覽器，該瀏覽器在其“關於我們”頁面上自稱為“越南人民的網絡瀏覽器和搜索引擎”。

如上所述，在變體#2中發現了疑似越南人與NodeStealer有關的第三個跡像是，這種變體試圖從兩個不同的越南網站（Hotmailbox[.]me和Dongvanfb[.]net）購買在線郵箱服務。

總結在這篇文章中，我們發現了一個針對Facebook商業賬戶的NodeStealer惡意軟件活動。作為活動的一部分，我們發現了NodeStealer的兩個變體，變體#1和變體#2。對這兩種變體的分析揭示了惡意軟件的一些有趣功能，所有這些都可能增加攻擊者的潛在經濟利益。

這名被懷疑來自越南的攻擊者為新變種提供了加密貨幣竊取功能、下載功能和完全接管Facebook商業賬戶的功能。

緩解措施1.Facebook鼓勵企業賬戶所有者使用強密碼並啟用多因素身份驗證；

2.企業使用基於雲的威脅分析服務可以準確地識別出這些樣本是惡意的，具體包括：

2.1 通過URL過濾和DNS安全將與該組織關聯的URL和域識別為惡意；

2.2 具有高級威脅防護安全訂閱的下一代防火牆；

2.3 分析來自多個數據源(包括終端、網絡防火牆、Active Directory、身份和訪問管理解決方案以及雲工作負載)的用戶活動來檢測基於用戶和憑據的威脅。