MKD-CIRT National Centre for Computer Incident Response
Facebook откри нов малициозен софтвер за крадење информации дистрибуиран на Meta наречен „NodeStealer“, кој им овозможува на хакерите да украдат колачиња од прелистувачот за да ги хакираат сметките на платформата, како и Gmail и Outlook сметките.
Крадењето колачиња што содржат валидни кориснички токени за сесии е популарна тактика меѓу сајбер-криминалците, бидејќи им овозможува да хакираат сметки без да мораат да украдат акредитиви или да комуницираат со жртвата, а истовремено да ја заобиколат двофакторската автентикациска заштита.
Како што објаснува безбедносниот тим на Facebook во новиот блог пост, го идентификувал NodeStealer во својата кампања за дистрибуција, само две недели по неговото првично појавување. Компанијата оттогаш ја прекина работата и им помогна на погодените корисници да ги вратат своите сметки.
Facebook инженерите првпат го забележаа NodeStealer малициозниот софтвер кон крајот на јануари 2023 година, припишувајќи ги нападите на виетнамските закани.
Малициозниот софтвер се нарекува NodeStealer, бидејќи е напишан во JavaScript и се извршува преку Node.js.
Node.js на малициозниот софтвер му овозможува да работи на Windows, macOS и Linux, а исто така е и изворот на неговата прикриеност, при што скоро сите AV енџини на VirusTotal не успеаја да го означат како злонамерен во тоа време.
NodeStealer се дистрибуира како извршна датотека со Windows од 46-51 MB, прикриена за да се појави како PDF или Excel документ соодветно именуван за да предизвика љубопитност кај примачот.
По лансирањето, тој го користи модулот за автоматско стартување на Node.js и додава нов клуч за регистар за да добие сила на машината на жртвата помеѓу рестартирањето.
Примарната цел на малициозниот софтвер е да украде колачиња и акредитиви на сметката за Facebook, Gmail и Outlook, складирани во веб-прелистувачи базирани на Chromium како Google Chrome, Microsoft Edge, Brave, Opera итн.
Овие податоци обично се шифрираат на базата на податоци SQLite на прелистувачите; сепак, враќањето на ова шифрирање е тривијален процес имплементиран од сите модерни крадци на информации, кои едноставно го враќаат клучот за дешифрирање кодиран со base64 од Chromium “Local State” датотеката.
Ако NodeStealer најде колачиња или акредитиви поврзани со Facebook сметките, тој преминува на следната фаза, „извидување на сметката“, при што го злоупотребува Facebook API за да извлече информации за пробиената сметка.
За да избегне откривање од системите за заштита од злоупотреба на Facebook, NodeStealer ги крие овие барања зад IP адресата на жртвата и ги користи нивните вредности за колачиња и системска конфигурација за да изгледа како вистински корисник.
Истата тактика е забележана кај слични видови на малициозен софтвер, опфатени во најновиот извештај за закани од малициозен софтвер на Facebook, како Ducktail.
Откако ги украл сите тие информации, NodeStealer ги ексфилтрира украдените податоци на серверот на напаѓачот.
По откривањето, Facebook го пријавил серверот на хакерот до регистраторот на доменот и тој бил отстранет на 25 јануари 2023 година.
Во денешниот извештај, Facebook сподели и информации за продолжување на операциите на DuckTail малициозениот софтвер и малициозни екстензии дистрибуирани како ChatGPT програми.
За оние кои се заинтересирани за IOC поврзани со NodeStealer, DuckTail и малициозен софтвер што имитира ChatGPT, Facebook ги сподели своите податоци на GitHub.
Извор: BleepingComputer
