البرمجية الخبيثة تستخدم الآن لسرقة معلومات حساسة مخزنة في قواعد بيانات متصفحات الإنترنت، مثل بيانات البطاقات المصرفية، بما في ذلك اسم حامل البطاقة وتاريخ انتهاء صلاحيتها ورقم البطاقة. تعتمد Python NodeStealer على استغلال قاعدة بيانات SQLite الخاصة بالمتصفحات لاستعلام واستخراج المعلومات المطلوبة من أجهزة المستخدمين.

وتستفيد البرمجية من نظام Windows Restart Manager لتجاوز القيود المفروضة على الملفات المقفلة أثناء عملية التجسس. يتيح لها هذا النظام نسخ الملفات المقفلة، ثم نقلها إلى مجلد مؤقت قبل فك تشفيرها واستخراجها بشكل كامل باستخدام روبوتات برمجية عبر تيليجرام.

تُشير التحقيقات إلى أن مطوري Python NodeStealer يتواجدون في فيتنام، ويستهدفون بشكل رئيسي الحسابات الإعلانية الموثقة للشركات عبر فيسبوك، خصوصاً "فيسبوك بيزنس" و"مدير الإعلانات". يتيح لهم استهداف هذه الحسابات تنفيذ حملات إعلانات ضارة تُسمى Malvertising، والتي تهدف إلى نشر برمجيات خبيثة وتحقيق مكاسب مالية غير قانونية من خلال خداع المستخدمين لدفعهم إلى الضغط على روابط مشبوهة أو تحميل ملفات ضارة.

هذه الحملات الإعلانية الضارة تستغل الحسابات الموثقة بعد سرقتها لتجاوز إجراءات الحماية المشددة التي تفرضها فيسبوك على الحسابات الجديدة، ما يزيد من فعالية الهجمات ويعرض المستخدمين لخطر كبير.