Вредоносное ПО может запускаться на любой ОС и выдавать себя за настоящего пользователя.
Специалисты Facebook* обнаружили новый инфостилер NodeStealer, который похищает cookie -файлы браузера для захвата учетных записей Facebook , Gmail и Outlook. Вредоносная программа была впервые обнаружена в конце января 2023 года при атаке на браузеры систем Windows. По словам экспертов, NodeStealer может быть нацелен на несколько веб-браузеров, включая Google Chrome, Microsoft Edge, Brave и Opera.
Исследователи Для просмотра ссылки Войдиили Зарегистрируйся , что NodeStealer — это специализированное вредоносное ПО на JavaScript , которое использует среду Node.js , чтобы получить возможность разворачиваться на нескольких ОС – Windows, Linux и macOS. Предполагается, что инфостилер разработан и распространяется злоумышленниками из Вьетнама.
Вредоносная программа маскируется под файлы PDF и XLSX, а имя файла выбирается так, чтобы привлечь жертву открыть файл и запустить процесс заражения. Одним из обнаруженных образцов был исполняемый файл Windows, замаскированный под PDF-файл. Злоумышленники изменили метаданные, пытаясь замаскировать файл под продукт «MicrosoftOffice».
Проанализированный образец размером 46 МБ написан на JavaScript, выполняется с использованием Node.js и скомпилирован в исполняемый файл Windows с помощью инструмента из библиотеки NPM под названием « Для просмотра ссылки Войдиили Зарегистрируйся ». NodeStealer поддерживает постоянство с помощью Для просмотра ссылки Войди или Зарегистрируйся на Node.js.
Браузер Chrome шифрует информацию о пользователе перед ее сохранением, при этом ключ шифрования сохраняется в файле «Local State» и кодируется в Base64. Чтобы украсть зашифрованные данные, NodeStealer извлекает ключ Для просмотра ссылки Войдиили Зарегистрируйся из файла «Local State» и расшифровывает данные, хранящиеся в базе данных SQLite браузера, в том числе cookie-файлы. Затем вредоносная программа ищет cookie-файл сеанса Facebook и продолжает работу, только если файл будет найден – в противном случае NodeStealer не извлекает дополнительную информацию.
После обнаружения cookie-файлов или учетных данных Facebook, NodeStealer использует API Facebook для перечисления рекламной информации о скомпрометированной учетной записи. NodeStealer получает доступ к этой информации, отправляя запросы с компьютера-жертвы к API-интерфейсам, используемым веб-приложениями и мобильными приложениями Facebook.
Так вредоносное ПО маскирует свою активность за фактическим IP-адресом пользователя, значениями cookie-файлов и конфигурацией системы, выдавая себя за легитимного пользователя и его сеанс. Это значительно усложняет обнаружение. Украденная информация позволяет хакеру использовать рекламные профили пользователей для запуска рекламы.
Facebook принял меры по предотвращению кампании и восстановлению учетных записей жертв, а также предоставил Для просмотра ссылки Войдиили Зарегистрируйся , связанные с NodeStealer. Стоит отметить, что соцсеть обнаружила угрозу в течение двух недель после начала ее распространения. На момент обнаружения вредоносный код один раз отмечался на платформе VirusTotal.
<span style="font-size: 8pt;">* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ</span>
Специалисты Facebook* обнаружили новый инфостилер NodeStealer, который похищает cookie -файлы браузера для захвата учетных записей Facebook , Gmail и Outlook. Вредоносная программа была впервые обнаружена в конце января 2023 года при атаке на браузеры систем Windows. По словам экспертов, NodeStealer может быть нацелен на несколько веб-браузеров, включая Google Chrome, Microsoft Edge, Brave и Opera.
Исследователи Для просмотра ссылки Войди
Вредоносная программа маскируется под файлы PDF и XLSX, а имя файла выбирается так, чтобы привлечь жертву открыть файл и запустить процесс заражения. Одним из обнаруженных образцов был исполняемый файл Windows, замаскированный под PDF-файл. Злоумышленники изменили метаданные, пытаясь замаскировать файл под продукт «MicrosoftOffice».
Проанализированный образец размером 46 МБ написан на JavaScript, выполняется с использованием Node.js и скомпилирован в исполняемый файл Windows с помощью инструмента из библиотеки NPM под названием « Для просмотра ссылки Войди
Браузер Chrome шифрует информацию о пользователе перед ее сохранением, при этом ключ шифрования сохраняется в файле «Local State» и кодируется в Base64. Чтобы украсть зашифрованные данные, NodeStealer извлекает ключ Для просмотра ссылки Войди
После обнаружения cookie-файлов или учетных данных Facebook, NodeStealer использует API Facebook для перечисления рекламной информации о скомпрометированной учетной записи. NodeStealer получает доступ к этой информации, отправляя запросы с компьютера-жертвы к API-интерфейсам, используемым веб-приложениями и мобильными приложениями Facebook.
Так вредоносное ПО маскирует свою активность за фактическим IP-адресом пользователя, значениями cookie-файлов и конфигурацией системы, выдавая себя за легитимного пользователя и его сеанс. Это значительно усложняет обнаружение. Украденная информация позволяет хакеру использовать рекламные профили пользователей для запуска рекламы.
Facebook принял меры по предотвращению кампании и восстановлению учетных записей жертв, а также предоставил Для просмотра ссылки Войди
<span style="font-size: 8pt;">* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ</span>
- Источник новости
- www.securitylab.ru