Facebook a découvert un nouveau logiciel malveillant de vol d’informations distribué sur Meta appelé « NodeStealer », permettant aux acteurs de la menace de voler des cookies de navigateur pour détourner des comptes sur la plate-forme, ainsi que des comptes Gmail et Outlook.

La capture de cookies contenant des jetons de session utilisateur valides est une tactique qui gagne en popularité parmi les cybercriminels, car elle leur permet de détourner des comptes sans avoir à voler des informations d’identification ou à interagir avec la cible tout en contournant les protections d’authentification à deux facteurs.

Comme l’explique l’équipe de sécurité de Facebook dans un nouveau billet de blog, elle a identifié NodeStealer au début de sa campagne de distribution, deux semaines seulement après son déploiement initial. La société a depuis interrompu l’opération et a aidé les utilisateurs concernés à récupérer leurs comptes.

NodeStealer vole vos comptes
Les ingénieurs de Facebook ont repéré pour la première fois le malware NodeStealer fin janvier 2023, attribuant les attaques à des acteurs vietnamiens.

Le malware s’appelle NodeStealer, car il est écrit en JavaScript et exécuté via Node.js.

Node.js rend le malware capable de s’exécuter sur Windows, macOS et Linux, et c’est aussi la source de sa furtivité, avec presque tous les moteurs AV sur VirusTotal qui ne le marquent pas comme malveillant à l’époque.

NodeStealer est distribué sous la forme d’un exécutable Windows de 46 à 51 Mo déguisé pour apparaître sous la forme d’un document PDF ou Excel nommé de manière appropriée pour susciter la curiosité du destinataire.

Au lancement, il utilise le module de lancement automatique de Node.js et ajoute une nouvelle clé de registre pour établir la persistance sur la machine de la victime entre les redémarrages.

L’objectif principal du logiciel malveillant est de voler les cookies et les identifiants de compte pour Facebook, Gmail et Outlook, stockés dans des navigateurs Web basés sur Chromium tels que Google Chrome, Microsoft Edge, Brave, Opera, etc.

Ces données sont normalement cryptées sur la base de données SQLite des navigateurs ; cependant, l’inversion de ce chiffrement est un processus trivial mis en œuvre par tous les voleurs d’informations modernes, qui récupèrent simplement la clé de déchiffrement encodée en base64 à partir du fichier « Local State » de Chromium.

Si NodeStealer trouve des cookies ou des identifiants liés aux comptes Facebook, il entre dans la phase suivante, la « reconnaissance de compte », au cours de laquelle il abuse de l’API Facebook pour extraire des informations sur le compte piraté.

Pour échapper à la détection par les systèmes anti-abus de Facebook, NodeStealer cache ces demandes derrière l’adresse IP de la victime et utilise leurs valeurs de cookies et la configuration du système pour apparaître comme un véritable utilisateur.

L’information clé recherchée par le logiciel malveillant est la capacité du compte Facebook à lancer des campagnes publicitaires, que les acteurs de la menace exploitent pour propager la désinformation ou diriger des publics sans méfiance vers d’autres sites de distribution de logiciels malveillants.

Il s’agit de la même tactique suivie par des souches de logiciels malveillants similaires également couvertes dans le dernier rapport sur les menaces de logiciels malveillants de Facebook, comme Ducktail.

Après avoir volé toutes ces informations, NodeStealer exfiltre les données volées vers le serveur de l’attaquant.

Dès sa découverte, Facebook a signalé le serveur de l’auteur de la menace au registraire de domaine, et il a été retiré le 25 janvier 2023.

Dans le rapport d’aujourd’hui, Facebook a également partagé des informations sur la poursuite des opérations de logiciels malveillants DuckTail et sur les logiciels malveillants et les extensions malveillantes distribués en tant que programmes ChatGPT.

Pour ceux qui s’intéressent aux IOC liés à NodeStealer, DuckTail et aux logiciels malveillants imitant ChatGPT, Facebook a partagé ses données sur le référentiel public GitHub de Facebook.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *