Biến thể này tìm cách trích xuất nhiều thông tin hơn từ tài khoản Facebook Ads Manager của nạn nhân và thu thập dữ liệu thẻ tín dụng được lưu trữ trong trình duyệt web.

Chuyên gia Jan Michael Alcantara cho biết, mã độc thu thập thông tin chi tiết về ngân sách tài khoản Facebook Ads Manager của nạn nhân. Các kỹ thuật mới được NodeStealer sử dụng bao gồm Windows Restart Manager để mở khóa các tệp cơ sở dữ liệu trình duyệt và đánh cắp dữ liệu mà không cần khởi động lại máy tính. Sau đó thông tin này sẽ được gửi đến kẻ tấn công thông qua bot Telegram.

Khi chiếm đoạt được tài khoản Facebook Ads Manager của nạn nhân, kẻ tấn công sẽ dùng tài khoản đó để thực hiện các chiến dịch quảng cáo độc hại. Thông thường, những tài khoản đã được Facebook xác thực mới có thể chạy quảng cáo. Vì thế, tin tặc đánh cắp những tài khoản này để vượt qua hệ thống kiểm duyệt của Facebook nhằm phát tán các quảng cáo chứa mã độc ngụy trang dưới dạng phần mềm hoặc trò chơi.

Các chuyên gia bảo mật khuyến cáo người dùng Facebook nên cảnh giác, không nhấp vào các liên kết đáng ngờ cũng như không tải xuống các tập tin từ các nguồn không rõ ràng, đặc biệt là các phần mềm hoặc game được gợi ý từ Facebook.

NodeStealer nguyên bản lần đầu tiên được Meta công khai ghi nhận vào tháng 5/2023. Ban đầu là phần mềm độc hại JavaScript trước khi phát triển thành phần mềm đánh cắp Python có khả năng thu thập dữ liệu liên quan đến tài khoản Facebook để chiếm đoạt.