Il team di sicurezza di Facebook in un nuovo post sul blog, ha identificato il malware NodeStealer all’inizio della sua campagna di distribuzione, bloccandone l’attività.
Il nuovo malware per il furto di informazioni consentirebbe agli attori delle minacce di rubare i cookie archiviati in browser Web basati su Chromium (Google Chrome, Microsoft Edge, Brave e Opera) per dirottare gli account Meta, Gmail e Outlook.
Tattica sempre più comune
L’acquisizione abusiva di cookie di sessione utente validi non è una novità. Anzi è una tattica che sta prendendo sempre più piede tra i criminali informatici, perché consente loro di dirottare gli account senza avere necessità di rubare le credenziali, aggirando anche l’autenticazione 2FA.
Analisi del malware
Il malware scritto in JavaScript ed eseguito tramite Node.js può funzionare su sistemi Windows, macOS e Linux, con l’aggravante di avere anche un basso tasso di rilevamento AV su VirusTotal.
Distribuito come eseguibile Windows con icone PDF o Excel e nomi che possono ingannare le vittime, una volta avviato aggiunge una nuova chiave di registro per stabilire la persistenza.
Qualora NodeStealer trovi cookie o credenziali relativi agli account Facebook, abusa dell’API di Facebook per estrarre informazioni sull’account violato, entrando nella fase successiva di ricognizione. Tutte le informazioni raccolte, vengono quindi esfiltrate su di un server remoto presidiato dall’attaccante.
Conclusioni
Per eludere il rilevamento da parte dei sistemi anti-abuso di Facebook, NodeStealer utilizza i valori dei cookie e la configurazione del sistema rubati per apparire come un vero utente e consentire agli attaccanti anche di sfruttare le campagne pubblicitarie Meta per diffondere disinformazione o indirizzare verso altri siti di distribuzione di malware.
Dopo la scoperta (avvenuta a fine gennaio 2023), Facebook ha segnalato i domini dei server malevoli coinvolti ai provider hosting di competenza, per la relativa rimozione, riuscendo così ad avviare un processo che ha portato alla fine della minaccia, almeno fino ad oggi.
Ulteriori dettagli sul blog di Facebook.