Facebook menemukan malware pencuri informasi baru yang didistribusikan di Meta yang disebut ‘NodeStealer,’ yang memungkinkan pelaku ancaman mencuri cookie browser untuk membajak akun di platform, serta akun Gmail dan Outlook.
Menangkap cookie yang berisi token sesi pengguna yang valid adalah taktik yang semakin populer di kalangan penjahat dunia maya, karena memungkinkan mereka membajak akun tanpa harus mencuri kredensial atau berinteraksi dengan target sambil juga melewati perlindungan autentikasi dua faktor.
Seperti yang dijelaskan oleh tim keamanan Facebook dalam yang baru posting blog, itu mengidentifikasi NodeStealer di awal kampanye distribusinya, hanya dua minggu setelah penerapan awalnya. Perusahaan sejak itu mengganggu operasi dan membantu pengguna yang terkena dampak memulihkan akun mereka.
NodeStealer mencuri akun Anda
Insinyur Facebook pertama kali melihat malware NodeStealer pada akhir Januari 2023, menghubungkan serangan tersebut dengan aktor ancaman Vietnam.
Malware tersebut disebut NodeStealer, karena ditulis dalam JavaScript dan dijalankan melalui Node.js.
Node.js membuat malware mampu berjalan di Windows, macOS, dan Linux, dan itu juga merupakan sumber dari kesembunyiannya, dengan hampir semua mesin AV di VirusTotal gagal menandainya sebagai berbahaya pada saat itu.
NodeStealer didistribusikan sebagai Windows 46-51MB yang dapat dieksekusi yang disamarkan untuk tampil sebagai dokumen PDF atau Excel dengan nama yang sesuai untuk menimbulkan rasa ingin tahu bagi penerima.
Saat diluncurkan, ia menggunakan modul peluncuran otomatis Node.js dan menambahkan kunci registri baru untuk membangun kegigihan pada mesin korban di antara reboot.
Tujuan utama malware adalah mencuri cookie dan kredensial akun untuk Facebook, Gmail, dan Outlook, yang disimpan di browser web berbasis Chromium seperti Google Chrome, Microsoft Edge, Brave, Opera, dll.
Data ini biasanya dienkripsi pada database SQLite browser; namun, membalikkan enkripsi ini adalah proses sepele yang diterapkan oleh semua pencuri informasi modern, yang hanya mengambil kunci dekripsi berenkode base64 dari file “Local State” Chromium.
Jika NodeStealer menemukan cookie atau kredensial yang terkait dengan akun Facebook, ia memasuki fase berikutnya, “pengintaian akun”, di mana ia menyalahgunakan API Facebook untuk mengekstrak informasi tentang akun yang dilanggar.
Untuk menghindari deteksi oleh sistem anti-penyalahgunaan Facebook, NodeStealer menyembunyikan permintaan ini di balik alamat IP korban dan menggunakan nilai cookie dan konfigurasi sistem agar terlihat seperti pengguna asli.
Informasi utama yang dicari malware adalah kemampuan akun Facebook untuk menjalankan kampanye iklan, yang dimanfaatkan oleh pelaku ancaman untuk menyebarkan informasi yang salah atau mengarahkan audiens yang tidak menaruh curiga ke situs distribusi malware lainnya.
Ini adalah taktik yang sama yang diikuti oleh jenis malware serupa yang juga tercakup Laporan ancaman malware terbaru Facebookmenyukai Ekor bebek.
Setelah mencuri semua info itu, NodeStealer mengekstrak data yang dicuri ke server penyerang.
Setelah ditemukan, Facebook melaporkan server pelaku ancaman ke pendaftar domain, dan dihapus pada 25 Januari 2023.
Dalam laporan hari ini, Facebook juga membagikan informasi tentang melanjutkan Malware DuckTail operasi dan malware serta ekstensi berbahaya yang didistribusikan sebagai program ChatGPT.
Bagi mereka yang tertarik dengan IOC terkait NodeStealer, DuckTail, dan malware yang meniru ChatGPT, Facebook telah membagikan datanya di Repositori GitHub publik Facebook.
