Facebook のビジネス・アカウントが標的:新種の情報スティーラー NodeStealer 2.0 とは?

New Infostealer Uncovered in Phishing Scam Targeting Facebook Business Accounts

2023/08/01 InfoSecurity — Facebook のビジネス・アカウントを乗っ取るために、新種の情報スティーラーを用いるフィッシング・キャンペーンが、Unit 42 の研究者たちにより発見された。この、ベトナムの脅威アクターによると思われる、過去1年間にわたるキャンペーンは、広告詐欺などを目的として Facebook ビジネス・アカウントを標的とする、攻撃者が増加しているトレンドの一部とされている。ベトナムとの関連性については、Python スクリプトの文字列の多くがベトナム語で書かれているなどの、いくつかの要因に基づいて判断されている。


朗報は、このキャンペーンの活動は停止していると考えられることだ。しかし Unit 42 は、このキャンペーンの背後にいる脅威アクターは、今後も同様の手法で Facebook のビジネス・アカウントを乗っ取り、個人/組織の双方に大きなリスクをもたらす可能性があると指摘している。

このリスクには、ターゲットの金銭的損失や風評被害が含まれるほか、ブラウザから盗んだ認証情報を悪用して、さらなる攻撃が行われる可能性などが含まれる。

このキャンペーンで配布された情報スティーラーは、2023年以前に Meta により発見されテイク・ダウンさせられた、NodeStealer の亜種と複数の類似点があるという。NodeStealer は、悪意のブラウザ・エクステンション/広告/SNS プラットフォームなどで個人を標的にして、侵害したビジネス・アカウントから不正な広告を実行することを目的としていた。

Unit 42 が発見した新たな情報スティーラーの亜種には、Facebook のビジネス・アカウントを完全に乗っ取る機能に加えて、暗号盗用機能とダウンローダー機能などの、脅威アクターにとって有益な機能が追加されているという。

NodeStealer 2.0 の仕組み

研究者たちによると、2022年12月頃のフィッシング・キャンペーンで、Nodestealer 2.0 と呼ばれる情報スティーラーを用いた攻撃が行われていたという。

このキャンペーンは、主に企業向けの広告資料を中心としたものであり、複数の Facebook ページやアカウントから、悪意のリンクをクリックするように被害者を誘導する情報を投稿していた。このリンクは、既知のクラウド・ファイル・ストレージ・プロバイダーを装っているが、被害者がクリックすると、悪意の情報スティーラー実行ファイルを含む .zip ファイルが、被害者のデバイスにダウンロードされる。

このキャンペーンでは、Unit 42 が Variant #1/Variant #2 と命名した、Python で書かれた、以下のマルウェアが使用されていた。

  • Variant #1:複数のプロセスを作成し、ユーザーにポップアップ・ウィンドウを表示するなど、”異常な活動の兆候とみなされる” 多数のアクションを実行する。その機能には、Facebook のビジネス・アカウント情報の窃取/追加のマルウェアのダウンロード/MetaMask 認証情報へのアクセスによる暗号通貨の窃取などが含まれる。
  • Variant #2:Variant#1 とは異なり、ターゲット・ユーザーから見えるアクティビティをあまり生成せず、脅威アクターは “Microsoft Corporation” というブランド名を悪用する。また、Facebook アカウントの乗っ取り/アンチ解析機能の実装/メールの窃取などの、他の亜種と比べて優れた機能を備えている。
拡大する Facebook を標的とした攻撃

今回の調査結果は、Facebook アカウントを標的とする、脅威アクターの増加トレンドの一部であると、Unit 42 は述べている。このトレンドは、Ducktail と名付けられたベトナムを拠点とするハッキング・オペレーションが、2022年7月に発見されたことで表面化した。

2022年11月には、WithSecure が、Facebook の広告/ビジネス・プラットフォームで活動する、個人/企業を標的としたキャンペーンの、新たな展開に関するレポートを公開している。

また、2023年3月には Guardio が、Facebook のセッション・クッキーを盗むように設計された、偽の ChatGPT Chrome エクステンションの新しい亜種を報告している。

Ducktail や NodeStealer と同様に、Unit 42 が発見した最新のマルウェアは、ベトナムを拠点とする脅威アクターから発信された疑いがある。

Unit 24 は、Facebook のビジネス・アカウントを持つ組織に対して、保護ポリシーを見直し、レポートに記載されている IoC (indicator of compromise) を使用して、今後における同様のリスクを軽減するよう推奨している。

Unit 24 のブログには、「Facebook のビジネス・アカウントの所有者に対しては、強力なパスワードを使用して、多要素認証を有効にすることが推奨される。フィッシングの手口である、時事問題やビジネスニーズなどの魅力的なトピックを悪用する、最新の標的型アプローチについて、時間をかけて組織向けの教育を実施してほしい」と記されている。

Facebook のビジネス・アカウントは、脅威アクターたちにとって格好の標的であり、そこから悪意の広告などを配信するというトレンドが止まりません。NodeStealer に関しては、2023/05/03 にも「Facebook を攻撃する NodeStealer は情報窃取マルウェア:セッション・クッキー侵害の容易さを証明」という記事をポストしています。よろしければ、Info Stealer で検索も、ご参照ください。