Meta prekinula širenje malvera NodeStealer koji otima Facebook, Gmail i Outlook naloge

Opisi virusa, 04.05.2023, 08:30 AM

Facebook je otkrio novi malver za krađu informacija pod nazivom “NodeStealer”, koji omogućava napadačima da ukradu kolačiće pretraživača da bi pomoću njih preuzeli naloge na platformi, kao i Gmail i Outlook naloge.

Krađa kolačića koji sadrže važeće tokene korisničke sesije je taktika koja postaje sve popularnija među sajber kriminalcima, jer im omogućava da preotmu naloge bez potrebe da kradu akreditive ili komuniciraju sa vlasnicima naloga, a istovremeno da zaobiđu zaštitu dvofaktorske autentifikacije.

Facebookov tim za bezbednost otkrio je NodeStealer samo dve nedelje nakon što su sajber kriminalci započeli distribuciju malvera na platformi. Kompanija je uspela da zaustavi ovu operaciju i pomogla pogođenim korisnicima da vrate svoje naloge.

Facebookovi inženjeri su prvi put uočili malver NodeStealer krajem januara 2023. godine, i povezali ga sa vijetnamskim hakerima.

NodeStealer radi na Windowsu, macOS-u i Linuxu. Zanimljivo je da ga skoro nijedan AV na VirusTotalu nije detektovao kao malver u to vreme.

NodeStealer se distribuira kao Windows izvršni fajl veličine 46-51 MB, koji je maskiran u PDF ili Excel dokument sa odgovarajućom ikonom i imenom fajla kako bi se kod primaoca izazvala radoznalost. Ova taktika otežava ljudima da vide da otvaraju potencijalno opasni izvršni fajl a ne bezopasni dokument.

Primarni cilj malvera je da ukrade kolačiće i lozinke za Facebook, Gmail i Outlook naloge, sačuvane u veb pregledačima baziranim na Chromiumu, kao što su Google Chrome, Microsoft Edge, Brave, Opera itd.

Ovi podaci su obično šifrovani u bazi podataka pretraživača, međutim, međutim malver može da ih dešifruje.

Ako NodeStealer pronađe kolačiće ili akreditive povezane sa Facebook nalozima, on ulazi u sledeću fazu - „izviđanje naloga“, tokom koje zloupotrebljava Facebook API da bi izvukao informacije o nalogu.

Da bi izbegao da ga otkriju Facebookovi sistemi, NodeStealer skriva ove zahteve iza IP adrese žrtve i koristi njene kolačiće i konfiguraciju sistema da bi izgledao kao pravi korisnik.

Ključna informacija za kojom malver traga je mogućnost Facebook naloga da pokrene reklamne kampanje, koje napadači koriste za širenje dezinformacija ili dovođenje korisnika Facebooka na sajtove za distribuciju malvera.

Pošto je ukrao sve te informacije, NodeStealer eksfiltrira ukradene podatke na server napadača.

Facebook je prijavio server napadača registru domena i on je uklonjen 25. januara 2023.

Foto: Dawid Sokołowski / Unsplash