- Investigadores de seguridad de Netskope han encontrado una versión mejorada de Python NodeStealer
- Este peligroso robo de información ahora también puede apuntar a las cuentas del Administrador de anuncios de Facebook
- Puede robar información de tarjetas de crédito, datos almacenados en navegadores y más
Python NodeStealer, el notorio software de robo de información que tenía como objetivo las cuentas comerciales de Facebook, se ha actualizado con nuevas características peligrosas para que también pueda atacar las cuentas del Administrador de anuncios de Facebook, robando más datos y abriendo así la puerta a una mayor destrucción. malware Campañas.
Los investigadores de ciberseguridad Netskope Threat Labs han publicado un nuevo análisis en profundidad de NodeStealer, señalando que ahora puede robar información de tarjetas de crédito, así como credenciales almacenadas en navegador.
Explicaron que el proceso se realiza copiando “datos web” en todos los navegadores de destino. WebData es una base de datos SQLite que almacena datos confidenciales, como información de autocompletar y métodos de pago guardados.
Abuso del Administrador de reinicio de Windows
“Al utilizar esta información, el robo de información ahora puede recopilar la información de la tarjeta de crédito de la víctima, que incluye el nombre del titular de la tarjeta, la fecha de vencimiento de la tarjeta y el número de la tarjeta”, anotaron los investigadores.
Utiliza la biblioteca de Python SQLite3 para realizar una consulta en la base de datos robada, buscando cadenas específicas (información de tarjeta de crédito).
Además, Python NodeStealer ahora usa el Administrador de reinicio de Windows para abrir archivos de bases de datos. Esta biblioteca reduce la cantidad de reinicios necesarios después de las actualizaciones de software, simplemente reiniciando procesos que bloquean los archivos actualizados, pero en este caso, se está utilizando indebidamente para el robo de datos.
Primero, el software de robo extrae información copiando los archivos de la base de datos del navegador en una carpeta temporal. Pero como los archivos suelen estar bloqueados por otro proceso, no se pueden utilizar, ya que se utiliza el Administrador de reinicio de Windows. Finalmente, los archivos se extraen mediante un bot de Telegram.
Lo más probable es que Python NodeStealer haya sido desarrollado por un actor de amenazas con sede en Vietnam. Su objetivo principal es piratear cuentas de Facebook Business y, ahora, de Facebook Ads Manager, que luego pueden utilizar indebidamente en campañas publicitarias maliciosas.
Facebook suele ser estricto a la hora de comprar anuncios en su plataforma, y sólo las cuentas examinadas y verificadas pueden hacerlo. Los estafadores rara vez logran eludir los escáneres de la plataforma y, en cambio, recurren al robo de cuentas verificadas para ejecutar sus campañas.
a través de Noticias de piratas informáticos