O Facebook descobriu um novo malware de roubo de informações distribuído na Meta chamado 'NodeStealer', permitindo que atores ameaçadores roubem cookies do navegador para sequestrar contas na plataforma, bem como contas do Gmail e Outlook.
Capturar cookies que contêm tokens de sessão de usuário válidos é uma tática que está crescendo em popularidade entre os criminosos cibernéticos, pois permite que eles sequestram contas sem precisar roubar credenciais ou interagir com o alvo, além de contornar as proteções de autenticação de dois fatores.
Como a equipe de segurança do Facebook explica em um novo post no blog, ele identificou o NodeStealer no início de sua campanha de distribuição, apenas duas semanas após sua implantação inicial.
A empresa desde então interrompeu a operação e ajudou os usuários afetados a recuperar suas contas.
Os engenheiros do Facebook detectaram o malware NodeStealer no final de janeiro de 2023, atribuindo os ataques a atores ameaçadores vietnamitas.
O malware é chamado de NodeStealer, pois é escrito em JavaScript e executado por meio do Node.js.
O Node.js torna o malware capaz de ser executado no Windows, macOS e Linux, e também é a fonte de sua furtividade, com quase todos os motores AV no VirusTotal falhando em marcá-lo como malicioso na época.
O NodeStealer é distribuído como um executável do Windows de 46-51MB disfarçado como um documento PDF ou Excel adequadamente nomeado para despertar a curiosidade do destinatário.
Ao ser iniciado, ele usa o módulo de autoinicialização do Node.js e adiciona uma nova chave de registro para estabelecer a persistência na máquina da vítima entre reinicializações.
O objetivo principal do malware é roubar cookies e credenciais de conta do Facebook, Gmail e Outlook, armazenados em navegadores da web baseados em Chromium, como Google Chrome, Microsoft Edge, Brave, Opera, etc.
Esses dados são normalmente criptografados no banco de dados SQLite dos navegadores; no entanto, reverter essa criptografia é um processo trivial implementado por todos os ladrões de informações modernos, que simplesmente recuperam a chave de descriptografia codificada em base64 do arquivo "Estado local" do Chromium.
Se o NodeStealer encontrar cookies ou credenciais relacionados a contas do Facebook, ele entra na próxima fase, "reconhecimento de conta", durante a qual abusa da API do Facebook para extrair informações sobre a conta violada.
Para evitar a detecção pelos sistemas anti-abuso do Facebook, o NodeStealer esconde essas solicitações por trás do endereço IP da vítima e usa os valores de cookie e configuração do sistema deles para parecer um usuário genuíno.
As informações-chave que o malware busca são a capacidade da conta do Facebook de executar campanhas publicitárias, que os atores ameaçadores aproveitam para divulgar desinformação ou levar audiências desavisadas a outros sites de distribuição de malware.
Esta é a mesma tática seguida por outras cepas de malware similares também cobertas no último relatório de ameaças de malware do Facebook, como o Ducktail.
Tendo roubado todas essas informações, o NodeStealer exfiltra os dados roubados para o servidor do atacante.
Ao descobrir, o Facebook relatou o servidor do ator ameaçador ao registrador de domínio, e ele foi retirado em 25 de janeiro de 2023.
No relatório de hoje, o Facebook também compartilhou informações sobre as operações contínuas do malware DuckTail e malware e extensões maliciosas distribuídos como programas ChatGPT.
Para aqueles interessados em IOCs relacionados ao NodeStealer, DuckTail e malware imitando o ChatGPT, o Facebook compartilhou seus dados no repositório público do GitHub do Facebook.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...