Cyberthreat.id - Peneliti cybersecurity menemukan varian Python dari malware pencuri NodeStealer yang dilengkapi untuk sepenuhnya mengambil alih akun bisnis Facebook serta menyedot cryptocurrency.

“Palo Alto Network Unit 42 mengatakan telah mendeteksi strain yang sebelumnya tidak terdokumentasi sebagai bagian dari kampanye yang dimulai pada Desember 2022. Tidak ada bukti yang menunjukkan bahwa serangan dunia maya sedang aktif,” demikian The Hacker News menuliskan.

Disebutkan, NodeStealer pertama kali diekspos oleh Meta pada Mei 2023, menggambarkannya sebagai pencuri yang mampu memanen cookie dan kata sandi dari browser web untuk mengkompromikan akun Facebook, Gmail, dan Outlook. Sementara sampel sebelumnya ditulis dalam JavaScript, versi terbaru dikodekan dengan Python.

"NodeStealer menimbulkan risiko besar bagi individu dan organisasi," kata peneliti Unit 42 Lior Rochberger kepada The Hacker News.

"Selain berdampak langsung pada akun bisnis Facebook, yang terutama bersifat finansial, malware juga mencuri kredensial dari browser, yang dapat digunakan untuk serangan lebih lanjut."

Serangan dimulai dengan pesan palsu di Facebook yang konon mengklaim menawarkan pelacakan anggaran "profesional" gratis Microsoft Excel dan templat Google Sheets, menipu korban untuk mengunduh file arsip ZIP yang dihosting di Google Drive.

File ZIP menyematkan di dalamnya pencuri yang dapat dieksekusi, selain menangkap informasi akun bisnis Facebook, dirancang untuk mengunduh malware tambahan seperti BitRAT dan XWorm dalam bentuk file ZIP, menonaktifkan Microsoft Defender Antivirus, dan melakukan pencurian crypto dengan menggunakan kredensial MetaMask dari Google Chrome, Cốc Cốc, dan browser web Brave.

Pengunduhan dilakukan melalui teknik bypass Kontrol Akun Pengguna (UAC) yang menggunakan fodhelper.exe untuk mengeksekusi skrip PowerShell yang mengambil file ZIP dari server jarak jauh.

Perlu dicatat bahwa metode bypass UAC FodHelper juga telah diadopsi oleh pelaku ancaman yang bermotivasi finansial di balik malware perbankan Casbaneiro untuk mendapatkan hak istimewa yang lebih tinggi atas host yang terinfeksi.

Unit 42 mengatakan lebih lanjut melihat varian Python yang ditingkatkan dari NodeStealer yang melampaui pencurian kredensial dan crypto dengan menerapkan fitur anti-analisis, mem-parsing email dari Microsoft Outlook, dan bahkan mencoba mengambil alih akun Facebook terkait.

Setelah informasi yang diperlukan dikumpulkan, file-file tersebut diekstraksi melalui API Telegram, setelah itu dihapus dari mesin untuk menghapus jejak.

NodeStealer juga bergabung dengan malware seperti Ducktail yang merupakan bagian dari tren yang berkembang dari pelaku ancaman Vietnam yang ingin membobol akun bisnis Facebook untuk penipuan iklan dan menyebarkan malware ke pengguna lain di platform media sosial.

Perkembangan tersebut terjadi ketika pelaku ancaman telah diamati memanfaatkan server WebDAV untuk menyebarkan BATLOADER, yang kemudian digunakan untuk mendistribusikan XWorm sebagai bagian dari serangan phishing multi-tahap.

Pemilik akun bisnis Facebook didorong untuk menggunakan kata sandi yang kuat dan mengaktifkan autentikasi multi-faktor, kata Rochberger.

"Luangkan waktu untuk memberikan pendidikan bagi organisasi Anda tentang taktik phishing, terutama pendekatan modern dan bertarget yang memainkan peristiwa terkini, kebutuhan bisnis, dan topik menarik lainnya."[]