Python版NodeStealer变种瞄准Facebook广告管理器,窃取敏感数据

本文详细分析了基于Python的NodeStealer恶意软件变种,通过鱼叉式网络钓鱼攻击传播,针对Facebook广告管理器账户窃取财务和业务信息,并利用Telegram进行数据外泄。

Python版NodeStealer变种瞄准Facebook广告管理器

NodeStealer恶意软件已从基于JavaScript的威胁演变为基于Python的威胁,使其能够窃取更广泛的敏感数据。趋势科技的MXDR团队在针对马来西亚教育机构的恶意软件活动中发现了这一更新的NodeStealer变种,与越南威胁组织有关联。

此最新版本的NodeStealer不仅能够收集信用卡详细信息和浏览器存储的数据,还针对Facebook广告管理器账户,窃取关键的财务和业务信息。感染链始于带有恶意嵌入链接的鱼叉式网络钓鱼电子邮件,点击后,恶意软件会以合法应用程序的名义下载并安装。

恶意软件使用复杂的技术,如DLL侧加载和编码的PowerShell命令,以绕过安全防御并执行最终有效负载,通过Telegram外泄数据。

技术细节

感染始于从一个可疑的Gmail地址发送的鱼叉式网络钓鱼电子邮件,针对组织内的多个用户(图1)。电子邮件包含一个嵌入链接,诱使收件人相信它是一个PDF文件的链接。一旦点击,它会下载恶意文件:一个看似无害的PDF,旨在利用用户设备中的漏洞,允许攻击者安装恶意软件并窃取敏感信息。

攻击者通过发送虚假的版权侵权通知来欺骗用户(图2)。这种策略迫使收件人立即采取行动,而不仔细考虑消息内容,通常导致他们点击恶意链接或下载有害文件。欺诈性通知被制作成看起来像是来自合法权威机构。

一旦用户点击电子邮件中的恶意嵌入链接,它会触发下载名为Nombor Rekod 052881.zip的可疑文件。提取zip文件的内容后,用户无意中将几个可疑文件释放到系统上。这些丢弃的文件如下:

  • D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\GHelper.dll
  • D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\Nombor Rekod 052881.exe
  • D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\hpreaderfprefs.dat
  • D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\oledlg.dll
  • D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\images\active-license.bat
  • D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\images\license-key.exe
  • D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\images\license.rar

可执行文件Nombor Rekod 052881.exe,似乎是一个PDF阅读器——通常被认为是受信任的应用程序——被观察到用于侧加载恶意DLL文件oledlg.dll(图3)。因此,恶意软件能够在合法程序的幌子下执行其恶意操作,使其能够绕过安全防御并无察觉地执行攻击。

如图4所示,侧加载的DLL然后使用命令提示符(cmd.exe)执行批处理文件images\active-license.bat。

此批处理文件images\active-license.bat包含一个恶意编码命令,然后执行图5中显示的PowerShell:

PowerShell命令执行以下操作:

  1. 隐藏控制台窗口

  2. 强制创建文件夹%LocalAppData%\ChromeApplication

  3. 解压缩license.rar文件(使用license.exe)到%LocalAppData%\ChromeApplication

  4. 下载并执行位于%User Profile%\document.pdf的诱饵PDF文件:

  5. 通过启动文件夹确保持久性:

  6. 通过命令下载(内存中)并执行最终有效负载:

恶意软件尝试连接到URL http[://]88.216.99.5:15707/entry.txt以下载并执行(内存中)其最终有效负载。

文件entry.txt包含一个混淆的Python脚本,如图6所示。脚本使用原生Python命令exec()和marshal.loads()的组合直接执行Python字节码。

图7中显示的字节码反汇编用于使用函数hybrid_decrypt解密另一个二进制字符串。该函数的输出存储在变量code中。然后将变量传递给函数runner以执行解密的字节码。

反汇编变量code中的字节码显示,预期的最终有效负载是一个信息窃取器,旨在收集信用卡数据和存储在Web浏览器中的敏感信息(图8)。

除了收集数据外,此新活动还针对Facebook广告管理器账户,提取财务和业务相关信息以驱动恶意广告活动(图9)。

观察到数据外泄是通过Telegram进行的,被盗的敏感信息首先被编译成zip存档。然后,此存档数据被发送到特定的Telegram链接。使用Telegram作为传输被盗数据的媒介确保了网络犯罪分子外泄敏感信息的隐蔽和高效方法。

结论和建议

最新的NodeStealer变种展示了更复杂的数据窃取方法:它专门针对Facebook广告管理器账户、信用卡信息和存储在Web浏览器中的机密数据,使用日益复杂的方法来绕过检测。此更新版本强调了提高意识和采取强大网络安全措施以防御像NodeStealer这样的威胁的必要性。

为防范此类威胁,强烈建议采取以下步骤:

  • 对可疑电子邮件保持谨慎。
  • 教育用户识别威胁。
  • 定期扫描恶意软件并保持防病毒软件更新。

通过采用这些实践,个人和组织可以显著加强其对复杂恶意软件(如NodeStealer)的防御。主动步骤——如谨慎的电子邮件习惯、用户教育和定期系统维护——对于构建全面的网络安全策略以帮助减轻数据泄露和其他恶意活动的风险至关重要。

趋势科技Vision One威胁情报

为了领先于不断发展的威胁,趋势科技客户可以在趋势科技Vision One中访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络安全威胁发生之前保持领先,并更好地为新兴威胁做好准备。它提供关于威胁行为者、其恶意活动及其使用技术的全面信息。通过利用此情报,客户可以采取主动步骤保护其环境、减轻风险并有效应对威胁。

危害指标(IOCs)

  • oledlg.dll: f813da93eed9c536154a6da5f38462bfb4ed80c85dd117c3fd681cf4790fbf71
  • active-license.bat: 1c9c7bb07acb9d612af2007cb633a6b1f569b197b1f93abc9bd3af8593e1ec66
  • WindowsSecurity.lnk: 786db3ddf2a471516c832e44b0d9a230674630c6f99d3e61ada6830726172458
  • 恶意下载链接: hxxps://t[.]ly/MRAbJ
  • hxxp://88[.]216[.]99[.]5:15707/entry[.]txt
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次