NodeStealer, il nuovo infostealer bloccato da Facebook

Il team di sicurezza di Facebook in un nuovo post sul blog, ha identificato il malware NodeStealer all’inizio della sua campagna di distribuzione, bloccandone l’attività.

Il nuovo malware per il furto di informazioni consentirebbe agli attori delle minacce di rubare i cookie archiviati in browser Web basati su Chromium (Google Chrome, Microsoft Edge, Brave e Opera) per dirottare gli account Meta, Gmail e Outlook.

Tattica sempre più comune

L’acquisizione abusiva di cookie di sessione utente validi non è una novità. Anzi è una tattica che sta prendendo sempre più piede tra i criminali informatici, perché consente loro di dirottare gli account senza avere necessità di rubare le credenziali, aggirando anche l’autenticazione 2FA.

Analisi del malware

Il malware scritto in JavaScript ed eseguito tramite Node.js può funzionare su sistemi Windows, macOS e Linux, con l’aggravante di avere anche un basso tasso di rilevamento AV su VirusTotal.

Scansione VirusTotal (Fonte Facebook)

Distribuito come eseguibile Windows con icone PDF o Excel e nomi che possono ingannare le vittime, una volta avviato aggiunge una nuova chiave di registro per stabilire la persistenza.

Codice per ottenere la persistenza (Fonte Facebook)

Qualora NodeStealer trovi cookie o credenziali relativi agli account Facebook, abusa dell’API di Facebook per estrarre informazioni sull’account violato, entrando nella fase successiva di ricognizione. Tutte le informazioni raccolte, vengono quindi esfiltrate su di un server remoto presidiato dall’attaccante.

Esfiltrazione delle informazioni rubate (Fonte Facebook)

Conclusioni

Per eludere il rilevamento da parte dei sistemi anti-abuso di Facebook, NodeStealer utilizza i valori dei cookie e la configurazione del sistema rubati per apparire come un vero utente e consentire agli attaccanti anche di sfruttare le campagne pubblicitarie Meta per diffondere disinformazione o indirizzare verso altri siti di distribuzione di malware.

Dopo la scoperta (avvenuta a fine gennaio 2023), Facebook ha segnalato i domini dei server malevoli coinvolti ai provider hosting di competenza, per la relativa rimozione, riuscendo così ad avviare un processo che ha portato alla fine della minaccia, almeno fino ad oggi.

Ulteriori dettagli sul blog di Facebook.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.