Uutta tiedonkalastelukampanjaa käytetään Facebookin yritystilien varastamiseen

Organisaatioiden Facebook-tilien kimppuun käydään epäsuorasti. Yleisenä keinona on yrityskäyttöön tarkoitettujen taulukkolaskentasovellusten mallipohjien hyödyntäminen, jotka sisältävät katalia keinoja tiedonkalasteluun. Tällaiset toimintamallit ovat olleet kasvussa jo hyvän tovin ja näistä esimakua saatiin jo kesällä 2022 Ducktail-tapauksen kautta.

Kahdeksan kuukautta myöhemmin maaliskuussa 2023 raportoitiin FakeGPT-ohjelmiston varastavan tietoja Facebookin mainostilien käyttämiseen. Toukokuussa 2023 Facebookin emoyhtiö Meta ilmoitti raportissaan NodeStealer-haittaohjelmasta. Sen toimintamallina on varastaa selaimen evästeitä, joilla voidaan murtautua Facebook-yritystileille.

Unit 42 on selvittänyt tutkimuksissaan kasvavan trendin taustoja, jotka vievät loppuvuoteen 2022. Tuolloin ilmestynyt NodeStealer-haittaohjelma oli luotu JavaScript-ohjelmointikielellä, kun taas sen uudempi versio eli NodeStealer 2.0 eri versioineen on ohjelmoitu Pythonilla. Sen myötä haittaohjelmisto on päivittynyt uusilla ominaisuuksilla, kuten kyvyllä varastaa kryptovaluuttaa, ladata tietoa ja ottaa Facebook-tilejä haltuunsa. Tämän ansiosta NodeStealer on uhka sekä yksityisihmisille että organisaatioille. Sen varastamia tietoja voidaan käyttää sekä tietojen varastamiseen että jatkotoimenpiteisiin. Unit 42:n raportissa selvennetään haittaohjelmiston toimintamallia ja toimivuutta sekä annetaan toimintaohjeita suojautumista varten.