Palo Alto Networks威胁情报小组Unit 42在最新的博客文章中表示，发现一项从未被通报过的网络钓鱼攻击行动，目的为传播数据窃取程序。该程序伪装成试算表范本等办公工具的恶意连接，可借此取得Facebook商业账号控制权。

这个新变种（NodeStealer 2.0，以Python编写）不同于Meta于2023年5月通报的版本，可窃取加密货币，并使用Telegram外泄数据。可看出攻击者以Facebook商业账号为目标的趋势日益明显，目的在于进行广告欺诈并获取经济利益。

Unit 42指出，该新变种主要感染途径为2022年12月的网络钓鱼攻击行动，攻击者借此传递恶意程序1号与2号变种，并利用多个Facebook页面和用户作为资讯发布渠道，诱骗受害者下载来自已知云计算文件存储供应商的连接。点击连接后会下载一个包含恶意数据窃取程序.exe执行文件的.zip压缩文件。

1号变种的攻击手段相当高调，会创建各种可能遭视为异常活动的处理程序，包括强制关闭图形化用户接口（GUI）上的快显窗口。然而2号变种的攻击更加分散，增加了识别恶意活动的难度。

通过使用受害者的用户ID和访问权限，这两种变种都可连接至Meta Graph API窃取Facebook商业账号凭证。Graph API是管理数据进出Facebook的主要方式，可以用程序化方式查询数据、发布贴文、管理广告等。攻击者会使用Graph API窃取目标对象的关注者数量、用户验证状态、账号是否使用预付服务等资讯，并发送至命令与控制服务器（C2）。攻击者也会试图查看常用浏览器的cookie和本机数据库以窃取登录凭证。

2号变种则更进一步，将真正用户的电子邮件地址改为网络攻击者控制的信箱，让用户永远无法访问账号。

Palo Alto Networks台湾区总经理尤惠生表示，网络营销和广告是如今多数企业的核心。利用NodeStealer 2.0的2号变种，网络攻击者可以更改电子邮件地址，并让用户永远无法访问账号。不当使用账号抵用金或发布不当内容，可能会导致大规模的财务和声誉损失。而Facebook的使用群体年龄层偏大，对科技可能较陌生，更容易成为攻击目标。

尤惠生指出，若想防范NodeStealer及其各类变种，组织需要审视防护政策，留意Unit 42提供的入侵指标（IoC）。重点在于要采取主动措施，教育员工防范现代网络钓鱼策略，这些策略利用时事、业务需求和其他具吸引力的主题。

（首图来源：shutterstock）