Meta prekinula širenje malvera NodeStealer koji otima Facebook, Gmail i Outlook naloge

Opisi virusa, 04.05.2023, 08:30 AM

Meta prekinula širenje malvera NodeStealer koji otima Facebook, Gmail i Outlook naloge

Facebook je otkrio novi malver za krađu informacija pod nazivom “NodeStealer”, koji omogućava napadačima da ukradu kolačiće pretraživača da bi pomoću njih preuzeli naloge na platformi, kao i Gmail i Outlook naloge.

Krađa kolačića koji sadrže važeće tokene korisničke sesije je taktika koja postaje sve popularnija među sajber kriminalcima, jer im omogućava da preotmu naloge bez potrebe da kradu akreditive ili komuniciraju sa vlasnicima naloga, a istovremeno da zaobiđu zaštitu dvofaktorske autentifikacije.

Facebookov tim za bezbednost otkrio je NodeStealer samo dve nedelje nakon što su sajber kriminalci započeli distribuciju malvera na platformi. Kompanija je uspela da zaustavi ovu operaciju i pomogla pogođenim korisnicima da vrate svoje naloge.

Facebookovi inženjeri su prvi put uočili malver NodeStealer krajem januara 2023. godine, i povezali ga sa vijetnamskim hakerima.

NodeStealer radi na Windowsu, macOS-u i Linuxu. Zanimljivo je da ga skoro nijedan AV na VirusTotalu nije detektovao kao malver u to vreme.

NodeStealer se distribuira kao Windows izvršni fajl veličine 46-51 MB, koji je maskiran u PDF ili Excel dokument sa odgovarajućom ikonom i imenom fajla kako bi se kod primaoca izazvala radoznalost. Ova taktika otežava ljudima da vide da otvaraju potencijalno opasni izvršni fajl a ne bezopasni dokument.

Primarni cilj malvera je da ukrade kolačiće i lozinke za Facebook, Gmail i Outlook naloge, sačuvane u veb pregledačima baziranim na Chromiumu, kao što su Google Chrome, Microsoft Edge, Brave, Opera itd.

Ovi podaci su obično šifrovani u bazi podataka pretraživača, međutim, međutim malver može da ih dešifruje.

Ako NodeStealer pronađe kolačiće ili akreditive povezane sa Facebook nalozima, on ulazi u sledeću fazu - „izviđanje naloga“, tokom koje zloupotrebljava Facebook API da bi izvukao informacije o nalogu.

Da bi izbegao da ga otkriju Facebookovi sistemi, NodeStealer skriva ove zahteve iza IP adrese žrtve i koristi njene kolačiće i konfiguraciju sistema da bi izgledao kao pravi korisnik.

Ključna informacija za kojom malver traga je mogućnost Facebook naloga da pokrene reklamne kampanje, koje napadači koriste za širenje dezinformacija ili dovođenje korisnika Facebooka na sajtove za distribuciju malvera.

Pošto je ukrao sve te informacije, NodeStealer eksfiltrira ukradene podatke na server napadača.

Facebook je prijavio server napadača registru domena i on je uklonjen 25. januara 2023.


Foto: Dawid Sokołowski / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate, koji je prvi put primećen krajem 2018. godine, trenutno se širi preko komunukacionih platformi kao što su Skype i Microsoft Teams,... Dalje