Facebook は、「NodeStealer」と呼ばれる Meta に配布された新しい情報を盗むマルウェアを発見しました。これにより、攻撃者はブラウザの Cookie を盗んで、プラットフォーム上のアカウントだけでなく、Gmail や Outlook のアカウントも乗っ取ることができます。
有効なユーザー セッション トークンを含む Cookie を取得することは、サイバー犯罪者の間で人気が高まっている戦術です。これにより、資格情報を盗んだりターゲットと対話したりすることなく、2 要素認証保護をバイパスしながらアカウントを乗っ取ることができるからです。
Facebook のセキュリティ チームが新しいブログ投稿で説明しているように、最初の展開からわずか 2 週間で、配布キャンペーンの早い段階で NodeStealer を特定しました。同社はその後、運用を中断し、影響を受けたユーザーがアカウントを回復するのを支援しました.
NodeStealer はあなたのアカウントを盗みます
Facebook のエンジニアは、2023 年 1 月下旬に NodeStealer マルウェアを初めて発見し、攻撃はベトナムの攻撃者によるものであると考えました。
このマルウェアは、JavaScript で記述され、Node.js を介して実行されるため、NodeStealer と呼ばれます。
Node.js は、このマルウェアを Windows、macOS、および Linux で実行できるようにします。これは、そのステルス性の原因でもあり、VirusTotal のほぼすべての AV エンジンは、その時点でマルウェアを悪意のあるものとしてマークすることができませんでした。
NodeStealer は、46 ~ 51 MB の Windows 実行可能ファイルとして配布され、PDF または Excel ドキュメントとして表示されるように偽装され、受信者の好奇心を刺激する適切な名前が付けられています。
起動時に、Node.js の自動起動モジュールを使用し、新しいレジストリ キーを追加して、再起動間で被害者のマシンに永続性を確立します。
このマルウェアの主な目的は、Google Chrome、Microsoft Edge、Brave、Opera などの Chromium ベースの Web ブラウザーに保存されている Facebook、Gmail、Outlook の Cookie とアカウント資格情報を盗むことです。
このデータは通常、ブラウザの SQLite データベースで暗号化されます。ただし、この暗号化を元に戻すことは、現代のすべての情報窃取者によって実装される簡単なプロセスであり、Chromium の「ローカル状態」ファイルから base64 でエンコードされた復号化キーを取得するだけです。
NodeStealer が Facebook アカウントに関連する Cookie や資格情報を見つけると、次のフェーズである「アカウントの偵察」に入り、Facebook API を悪用して侵害されたアカウントに関する情報を抽出します。
Facebook の不正使用防止システムによる検出を回避するために、NodeStealer はこれらの要求を被害者の IP アドレスの背後に隠し、Cookie の値とシステム構成を使用して本物のユーザーのように見せかけます。
マルウェアが追跡する重要な情報は、広告キャンペーンを実行する Facebook アカウントの機能です。これは、攻撃者が誤った情報をプッシュしたり、疑いを持たないユーザーを他のマルウェア配信サイトに誘導したりするために利用されます。
これは、 DucktailのようなFacebook の最新のマルウェア脅威レポートでも取り上げられている同様のマルウェア株が従うのと同じ戦術です。
そのすべての情報を盗んだ NodeStealer は、盗んだデータを攻撃者のサーバーに流出させます。
発見後、Facebook は攻撃者のサーバーをドメイン レジストラーに報告し、2023 年 1 月 25 日に削除されました。
本日のレポートで、Facebook は継続的なDuckTailマルウェアの運用と、ChatGPT プログラムとして配布されたマルウェアと悪意のある拡張機能に関する情報も共有しました。
NodeStealer、DuckTail、および ChatGPT を模倣するマルウェアに関連する IOC に関心がある人のために、Facebook はそのデータをFacebook の公開 GitHub リポジトリで共有しています。
Comments