Cyberthreat.id - Akun bisnis Facebook yang disusupi digunakan untuk menjalankan iklan palsu yang menggunakan "foto-foto wanita muda yang terbuka" sebagai umpan untuk mengelabui korban agar mengunduh versi terbaru dari malware yang disebut NodeStealer.

"Mengklik iklan akan segera mengunduh arsip yang berisi file 'Album Foto' .exe berbahaya yang juga menghapus file executable kedua yang ditulis dalam .NET – muatan ini bertugas mencuri cookie dan kata sandi browser," kata Bitdefender dalam laporan yang diterbitkan minggu ini sebagaimana ditulis The Hacker News.

NodeStealer pertama kali diungkapkan oleh Meta pada Mei 2023 sebagai malware JavaScript yang dirancang untuk memfasilitasi pengambilalihan akun Facebook. Sejak itu, pelaku ancaman di balik operasi tersebut telah memanfaatkan varian berbasis Python dalam serangan mereka.

Malware ini merupakan bagian dari ekosistem kejahatan dunia maya yang sedang berkembang di Vietnam, di mana banyak pelaku ancaman memanfaatkan metode yang tumpang tindih yang terutama melibatkan iklan sebagai vektor di Facebook untuk penyebarannya.

Kampanye terbaru yang ditemukan oleh perusahaan keamanan siber Rumania juga menunjukkan bahwa iklan berbahaya digunakan sebagai saluran untuk menyusupi akun Facebook pengguna.

“Alat Manajer Iklan Meta secara aktif dieksploitasi dalam kampanye ini untuk menargetkan pengguna pria di Facebook, berusia 18 hingga 65 tahun dari Eropa, Afrika, dan Karibia,” kata Bitdefender. “Demografi yang paling terkena dampak adalah laki-laki berusia 45+ tahun.”

Selain mendistribusikan malware melalui file executable Windows yang disamarkan sebagai album foto, serangan ini juga memperluas sasarannya hingga mencakup pengguna Facebook biasa. Eksekusi dihosting secara sah.

Tujuan akhir dari serangan ini adalah untuk memanfaatkan cookie yang dicuri untuk melewati mekanisme keamanan seperti otentikasi dua faktor dan mengubah kata sandi, sehingga secara efektif mengunci korban dari akun mereka sendiri.

“Baik mencuri uang atau menipu korban baru melalui akun yang dibajak, jenis serangan jahat ini memungkinkan penjahat siber tetap berada di bawah radar dengan menyelinap melewati pertahanan keamanan Meta,” kata para peneliti.

Awal Agustus ini, HUMAN mengungkapkan jenis serangan pengambilalihan akun lain yang disebut Capra yang ditujukan pada platform taruhan dengan menggunakan alamat email curian untuk menentukan alamat terdaftar dan masuk ke akun.

Perkembangan ini terjadi ketika Cisco Talos merinci beberapa penipuan yang menargetkan pengguna platform game Roblox dengan tautan phishing yang bertujuan untuk menangkap kredensial korban dan mencuri Robux, mata uang dalam aplikasi yang dapat digunakan untuk membeli peningkatan avatar mereka atau membeli kemampuan khusus.

"Pengguna 'Roblox' dapat menjadi sasaran para penipu (dikenal sebagai 'beamers' oleh pemain 'Roblox') yang berupaya mencuri barang berharga atau Robux dari pemain lain," kata peneliti keamanan Tiago Pereira kepada The Hacker News.

“Hal ini kadang-kadang dapat menjadi lebih mudah bagi para penipu karena basis pengguna muda “Roblox”. Hampir setengah dari 65 juta pengguna game ini berusia di bawah 13 tahun yang mungkin tidak begitu mahir dalam mengenali penipuan.”

Hal ini juga menyusul penemuan CloudSEK atas kampanye pengumpulan data selama dua tahun yang terjadi di Timur Tengah melalui jaringan sekitar 3.500 domain palsu terkait properti real estate di wilayah tersebut dengan tujuan mengumpulkan informasi tentang pembeli dan penjual, dan menjajakannya. data di forum bawah tanah.[]