Facebook ontdekte een nieuwe malware voor het stelen van informatie die wordt verspreid op Meta, genaamd ‚NodeStealer‘, waardoor aanvallers browsercookies kunnen stelen om accounts op het platform te kapen, evenals Gmail- en Outlook-accounts.
Het vastleggen van cookies die geldige tokens voor gebruikerssessies bevatten, is een tactiek die steeds populairder wordt onder cybercriminelen, omdat het hen in staat stelt accounts te kapen zonder inloggegevens te stelen of met het doelwit te communiceren, terwijl ook tweefactorauthenticatiebeveiligingen worden omzeild.
Zoals het beveiligingsteam van Facebook uitlegt in een nieuwe blogpost, identificeerde het NodeStealer vroeg in zijn distributiecampagne, slechts twee weken na de eerste implementatie. Het bedrijf heeft sindsdien de operatie verstoord en getroffen gebruikers geholpen hun accounts te herstellen.
NodeStealer steelt uw accounts
De technici van Facebook zagen de NodeStealer-malware eind januari 2023 voor het eerst en schreven de aanvallen toe aan Vietnamese bedreigingsactoren.
De malware heet NodeStealer, omdat het is geschreven in JavaScript en wordt uitgevoerd via Node.js.
Node.js zorgt ervoor dat de malware kan worden uitgevoerd op Windows, macOS en Linux, en het is ook de bron van zijn onopvallendheid, waarbij bijna alle AV-engines op VirusTotal het op dat moment niet als kwaadaardig markeerden.
NodeStealer wordt gedistribueerd als een Windows-uitvoerbaar bestand van 46-51 MB, vermomd om te verschijnen als een PDF- of Excel-document met de juiste naam om de ontvanger nieuwsgierig te maken.
Bij het opstarten gebruikt het de auto-launch-module van Node.js en voegt het een nieuwe registersleutel toe om persistentie op de machine van het slachtoffer vast te stellen tussen het opnieuw opstarten.
Het primaire doel van de malware is het stelen van cookies en accountreferenties voor Facebook, Gmail en Outlook, die zijn opgeslagen in op Chromium gebaseerde webbrowsers zoals Google Chrome, Microsoft Edge, Brave, Opera, enz.
Deze gegevens worden normaal gesproken versleuteld in de SQLite-database van de browser; het ongedaan maken van deze codering is echter een triviaal proces dat wordt uitgevoerd door alle moderne informatiedieven, die eenvoudigweg de base64-gecodeerde decoderingssleutel ophalen uit het Chromium „Local State“-bestand.
Als NodeStealer cookies of inloggegevens met betrekking tot Facebook-accounts vindt, gaat het de volgende fase in, „accountverkenning“, waarin het de Facebook-API misbruikt om informatie over het geschonden account te extraheren.
Om detectie door de antimisbruiksystemen van Facebook te omzeilen, verbergt NodeStealer deze verzoeken achter het IP-adres van het slachtoffer en gebruikt het hun cookiewaarden en systeemconfiguratie om eruit te zien als een echte gebruiker.
De belangrijkste informatie waar de malware naar op zoek is, is het vermogen van het Facebook-account om advertentiecampagnes uit te voeren, die bedreigingsactoren gebruiken om verkeerde informatie te verspreiden of nietsvermoedend publiek naar andere malwareverspreidingssites te leiden.
Dit is dezelfde tactiek die wordt gevolgd door soortgelijke malwarestammen die ook worden behandeld Het nieuwste malwaredreigingsrapport van Facebookleuk vinden Eendenstaart.
Nadat al die informatie is gestolen, exfiltreert NodeStealer de gestolen gegevens naar de server van de aanvaller.
Na ontdekking rapporteerde Facebook de server van de bedreigingsactor aan de domeinregistreerder en deze werd op 25 januari 2023 verwijderd.
In het rapport van vandaag deelde Facebook ook informatie over doorgaan DuckTail-malware operaties en malware en kwaadaardige extensies die worden verspreid als ChatGPT-programma’s.
Voor diegenen die geïnteresseerd zijn in IOC’s gerelateerd aan NodeStealer, DuckTail en malware die ChatGPT imiteert: Facebook heeft zijn gegevens gedeeld op De openbare GitHub-repository van Facebook.