Meta prekinula širenje malvera NodeStealer koji otima Facebook, Gmail i Outlook naloge
Opisi virusa, 04.05.2023, 08:30 AM
Facebook je otkrio novi malver za krađu informacija pod nazivom “NodeStealer”, koji omogućava napadačima da ukradu kolačiće pretraživača da bi pomoću njih preuzeli naloge na platformi, kao i Gmail i Outlook naloge.
Krađa kolačića koji sadrže važeće tokene korisničke sesije je taktika koja postaje sve popularnija među sajber kriminalcima, jer im omogućava da preotmu naloge bez potrebe da kradu akreditive ili komuniciraju sa vlasnicima naloga, a istovremeno da zaobiđu zaštitu dvofaktorske autentifikacije.
Facebookov tim za bezbednost otkrio je NodeStealer samo dve nedelje nakon što su sajber kriminalci započeli distribuciju malvera na platformi. Kompanija je uspela da zaustavi ovu operaciju i pomogla pogođenim korisnicima da vrate svoje naloge.
Facebookovi inženjeri su prvi put uočili malver NodeStealer krajem januara 2023. godine, i povezali ga sa vijetnamskim hakerima.
NodeStealer radi na Windowsu, macOS-u i Linuxu. Zanimljivo je da ga skoro nijedan AV na VirusTotalu nije detektovao kao malver u to vreme.
NodeStealer se distribuira kao Windows izvršni fajl veličine 46-51 MB, koji je maskiran u PDF ili Excel dokument sa odgovarajućom ikonom i imenom fajla kako bi se kod primaoca izazvala radoznalost. Ova taktika otežava ljudima da vide da otvaraju potencijalno opasni izvršni fajl a ne bezopasni dokument.
Primarni cilj malvera je da ukrade kolačiće i lozinke za Facebook, Gmail i Outlook naloge, sačuvane u veb pregledačima baziranim na Chromiumu, kao što su Google Chrome, Microsoft Edge, Brave, Opera itd.
Ovi podaci su obično šifrovani u bazi podataka pretraživača, međutim, međutim malver može da ih dešifruje.
Ako NodeStealer pronađe kolačiće ili akreditive povezane sa Facebook nalozima, on ulazi u sledeću fazu - „izviđanje naloga“, tokom koje zloupotrebljava Facebook API da bi izvukao informacije o nalogu.
Da bi izbegao da ga otkriju Facebookovi sistemi, NodeStealer skriva ove zahteve iza IP adrese žrtve i koristi njene kolačiće i konfiguraciju sistema da bi izgledao kao pravi korisnik.
Ključna informacija za kojom malver traga je mogućnost Facebook naloga da pokrene reklamne kampanje, koje napadači koriste za širenje dezinformacija ili dovođenje korisnika Facebooka na sajtove za distribuciju malvera.
Pošto je ukrao sve te informacije, NodeStealer eksfiltrira ukradene podatke na server napadača.
Facebook je prijavio server napadača registru domena i on je uklonjen 25. januara 2023.
Foto: Dawid Sokołowski / Unsplash
Izdvojeno
Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima
Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje
Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u
Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje
Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera
Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje
Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka
SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje
Malver StealC ima neobičan metod za krađu lozinke za Google nalog
Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje
Pratite nas
Nagrade