Các chuyên gia an ninh mạng vừa cảnh báo về phiên bản mới của NodeStealer – phần mềm độc hại được thiết kế để chiếm đoạt tài khoản quảng cáo trên Facebook và thu thập dữ liệu thẻ tín dụng lưu trong trình duyệt.

Ban đầu được phát hiện bởi Meta vào tháng 5/2023, NodeStealer bắt đầu dưới dạng phần mềm độc hại JavaScript, nhưng nay đã phát triển thành phiên bản công cụ Python mạnh mẽ hơn.

Phần mềm này nhắm đến các tài khoản Facebook Ads Manager và Facebook Business, với mục tiêu chiếm quyền kiểm soát tài khoản để triển khai các quảng cáo độc hại và thu thập dữ liệu thẻ tín dụng từ trình duyệt để trục lợi tài chính.

NodeStealer lợi dụng các công cụ hợp pháp như Windows Restart Manager để mở khóa cơ sở dữ liệu trình duyệt, từ đó trích xuất dữ liệu thẻ tín dụng và mã truy cập tài khoản. Bằng cách sử dụng Facebook Graph API, phần mềm độc hại này tạo mã thông báo truy cập thông qua cookie thu thập từ máy tính nạn nhân để tạo mã truy cập, chiếm tài khoản Facebook.

Điểm đáng chú ý là NodeStealer được lập trình để tránh phát hiện bằng cách không lây nhiễm các máy tính tại Việt Nam – nơi được cho là nguồn gốc phát triển phần mềm này.

Kẻ tấn công không chỉ kiểm soát tài khoản quảng cáo mà còn sử dụng chúng để phát tán quảng cáo giả mạo, dụ người dùng tải về phần mềm hoặc tiện ích mở rộng giả. Ngoài ra, dữ liệu đánh cắp thường được truyền qua Telegram – một nền tảng phổ biến với tội phạm mạng bất chấp những thay đổi về chính sách bảo mật.

Phần mềm này không chỉ gây tổn thất tài chính trực tiếp qua việc đánh cắp dữ liệu thẻ tín dụng mà còn biến các tài khoản doanh nghiệp trên Facebook thành công cụ phục vụ các chiến dịch độc hại. Hành động này ảnh hưởng nghiêm trọng đến uy tín cá nhân, doanh nghiệp và có thể mở rộng đến việc phát tán các loại phần mềm độc hại khác.

Nguồn: The hacker news