Обнаружен новый инфостилер NodeStealer, который похищает учетные данные Facebook*

Специалисты Facebook* обнаружили новый инфостилер NodeStealer, который похищает cookie-файлы браузера для захвата учетных записей Facebook, Gmail и Outlook. Вредоносная программа была впервые обнаружена в конце января 2023 года при атаке на браузеры систем Windows. По словам экспертов, NodeStealer может быть нацелен на несколько веб-браузеров, включая Google Chrome, Microsoft Edge, Brave и Opera.

Исследователи объяснили , что NodeStealer — это специализированное вредоносное ПО на JavaScript, которое использует среду Node.js, чтобы получить возможность разворачиваться на нескольких ОС – Windows, Linux и macOS. Предполагается, что инфостилер разработан и распространяется злоумышленниками из Вьетнама.

Вредоносная программа маскируется под файлы PDF и XLSX, а имя файла выбирается так, чтобы привлечь жертву открыть файл и запустить процесс заражения. Одним из обнаруженных образцов был исполняемый файл Windows, замаскированный под PDF-файл. Злоумышленники изменили метаданные, пытаясь замаскировать файл под продукт «MicrosoftOffice».

Проанализированный образец размером 46 МБ написан на JavaScript, выполняется с использованием Node.js и скомпилирован в исполняемый файл Windows с помощью инструмента из библиотеки NPM под названием « pkg ». NodeStealer поддерживает постоянство с помощью модуля автозапуска на Node.js.

Браузер Chrome шифрует информацию о пользователе перед ее сохранением, при этом ключ шифрования сохраняется в файле «Local State» и кодируется в Base64. Чтобы украсть зашифрованные данные, NodeStealer извлекает ключ дешифрования из файла «Local State» и расшифровывает данные, хранящиеся в базе данных SQLite браузера, в том числе cookie-файлы. Затем вредоносная программа ищет cookie-файл сеанса Facebook и продолжает работу, только если файл будет найден – в противном случае NodeStealer не извлекает дополнительную информацию.

После обнаружения cookie-файлов или учетных данных Facebook, NodeStealer использует API Facebook для перечисления рекламной информации о скомпрометированной учетной записи. NodeStealer получает доступ к этой информации, отправляя запросы с компьютера-жертвы к API-интерфейсам, используемым веб-приложениями и мобильными приложениями Facebook.

Так вредоносное ПО маскирует свою активность за фактическим IP-адресом пользователя, значениями cookie-файлов и конфигурацией системы, выдавая себя за легитимного пользователя и его сеанс. Это значительно усложняет обнаружение. Украденная информация позволяет хакеру использовать рекламные профили пользователей для запуска рекламы.

Facebook принял меры по предотвращению кампании и восстановлению учетных записей жертв, а также предоставил индикаторы компрометации (IOC) , связанные с NodeStealer. Стоит отметить, что соцсеть обнаружила угрозу в течение двух недель после начала ее распространения. На момент обнаружения вредоносный код один раз отмечался на платформе VirusTotal.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ