新たなフィッシング攻撃、Node Stealer 2.0 が Facebook ビジネス アカウントの機密データを盗む

フィッシングノードスティーラー2.0のイラスト(写真:パロアルトネットワーク)

ジャカルタ - 最近、パロアルトネットワークスのユニット42の研究者は、これまで発表されていなかったフィッシング攻撃、すなわちNode Stealer 2.0を発見しました。

調査結果によると、この攻撃は2022年12月に始まった。昨年5月にMetaが報告したNode Stealerの亜種と同様、Node Stealer 2は機密情報を盗むための高度なマルウェアで、サイバー脅威の状況に新たな次元をもたらした。

Node Stealer マルウェア攻撃の新たな亜種が出現し、Python プログラミング言語で書かれた 2 つの亜種が登場し、暗号通貨を盗み、Facebook 上のビジネス アカウントをダウンロードして乗っ取る機能を備えていました。

「インドネシアは世界で 3 番目に Facebook ユーザーが多い国であり、ユーザー数は 2023 年 1 月時点で 1 億 1,990 万人に達しています。この多数のユーザーにより、インドネシア国民が深刻な脅威にさらされる危険にさらされる可能性があります。 NodeStealer マルウェアの存在」と、パロアルトネットワークスのアジア太平洋および日本、サイバー コンサルティングおよび脅威インテリジェンス部門 42 部門のディレクター、ヴィッキー レイ氏は述べています。

Vicky 氏は、このマルウェアは Facebook のビジネス アカウントに直接影響を与えるだけでなく、ブラウザからユーザーの認証情報も盗み、それを利用して追加攻撃を実行する可能性があるとも述べました。

「私たちはすべての組織に対し、保護ポリシーを評価し、この脅威に対処するために報告書に含まれている侵入指標（IoC）を実装するよう求めます」と同氏は付け加えた。

Node Stealer 2.0 の展開の主なきっかけは、企業が使用する広告コンテンツに焦点を当てたフィッシング攻撃でした。これにより、脅威アクターがブラウザーの Cookie を盗み、プラットフォーム上のビジネス アカウントを乗っ取ることが可能になりました。

脅威アクターは、Facebook ユーザーだけでなく複数のページを使用して情報をアップロードし、信頼できるクラウド ファイル ストレージ プロバイダーからリンクをダウンロードするように被害者を誘導します。リンクをクリックすると、情報を盗む悪意のあるプログラムが含まれた ZIP ファイルがデバイスにダウンロードされます。

「Facebook ビジネスアカウントの所有者は、強力で複雑で推測しにくいパスワードを使用し、多要素認証を有効にすることが推奨されます」と Vicky 氏は結論づけています。