NodeStealer kradne prihlasovacie údaje od Facebook účtov. Nová kampaň hackerov je silnejšou, než kedykoľvek predtým
Malvér NodeStealer sa vracia a okrem Facebook business účtov začal kradnúť aj kreditné karty a je omnoho silnejší, než tomu bolo v minulosti.
Ešte v septembri 2023 bezpečnostní analytici z Netskope Threat Labs pozorovali malvér NodeStealer, ktorý sa zameriaval na Facebook business účty. Malvér sa do online priestoru vracia opäť, pričom sa naučil pár nových trikov.
Ako už z názvu vyplýva, ide o malvér typu infostealer. Čo NodeStealer robí, je to, že dokáže ukradnúť prihlasovacie údaje uložené v prehliadačoch a v súboroch cookies. Bezpečnostní analytici činnosť malvéru sledujú už viac ako rok, počas ktorého objavili viacero jeho variant.
Malvér sa po krátkej odmlke objavil v online priestore opäť a podľa toho, čo si bezpečnostní analytici všimli, tentokrát cieli na novú skupinu obetí, od ktorej sa snaží dostať nový typ informácií. Na to používa nové techniky.
Jeden z variantov, ktorý bezpečnostní analytici objavili, sa zameriava na Facebook Ads Manager účty. Ide o nástroj, ktorý užívateľom dovoľuje spravovať reklamné kampane na viacerých sociálnych sieťach, napríklad na Facebooku alebo Instagrame. Táto verzia malvéru kradne všetky predchádzajúce typy dát, ktoré kradol NodeStealer v prvotnej kampani, no pridávajú sa k tomu aj dáta z platformy Facebook Ads Manager. Analytici predpokladajú, že malvér cieli na túto platformu preto, aby mohli kyberzločinci vytvárať podvodné Facebook reklamy.
Ďalšia verzia NodeStealer využíva systém Windows Restart Manager na odomknutie rôznych databáz. Knižnica systému Windows Restart Manager znižuje potrebu reštartovať počítač po aktualizácii softvéru. Robí to tak, že reštartuje proces, ktorý uzamyká aktualizované súbory. V tomto prípade ale hackeri zneužívajú tento systém na to, aby kradli informácie.
Neprehliadni
Pozor aj na kreditné karty
Malvér NodeStealer sa po vzore mnohých škodlivých softvérov v online priestore vydáva cestou kradnutia kreditných informácií. V prípade tohto škodlivého softvéru to kyberzločinci dosiahnu kopírovaním súborov Web Data na všetkých cielených prehliadačoch. Ide o databázu, ktorá ukladá potenciálne citlivé informácie. Ukladať môže napríklad dáta automatického doplnenia alebo uložené spôsoby platby.
S prístupom k týmto informáciám môžu kyberzločinci ukradnúť všetky platobné informácie obete. Ukradnú nielen číslo karty, ale aj meno jej držiteľa. Malvér v sebe ukrýva škodlivý kód, ktorý presne hľadá informácie o platobných kartách obete.
Malvér NodeStealer sa dokáže v infikovanom zariadení udržať
Niektoré verzie malvéru sa dokážu v infikovanom zariadení užívateľa udržať tak, že zneužívajú kľúče registra. Väčšina verzií malvéru sa v infikovanom počítači drží cez priečinok startup, čo môžeme pozorovať aj pri niektorých novších variantoch malvéru. Len hŕstka verzií sa drží v napadnutom zariadení cez register užívateľa.
Bezpečnostných expertov zaujalo aj to, že niektoré varianty mali v sebe výrazné množstvo “odpadového kódu”. Ide o programovací kód, ktorý nemá absolútne žiadnu funkciu, no kyberzločinci ho aj napriek tomu môžu využiť na niekoľko účelov. Ako prvé, odpadový kód zvyšuje veľkosť súboru. Tým sa môžu vyhnúť bezpečnostným prvkom, ktoré skenujú len malé súbory. Množstvo odpadového kódu zároveň môže spomaliť analýzu malvéru.
Na exfiltráciu dát používajú kyberzločinci stále Telegram
Všetky analyzované vzorky malvéru NodeStealer používali sociálnu sieť Telegram na exfiltrovanie ukradnutých dát. Spolu s ukradnutými dátami sa na Telegramový účet kyberzločincov posiela aj niekoľko ďalších osobných údajov obete. V poslanom súbore je zahrnutá IP adresa, krajina a meno počítača obete.
Ako sme už spomenuli, nové verzie malvéru NodeStealer sa okrem Facebook business účtov začali zameriavať aj na platformu Facebook Ads Manager. Kyber zločinci rozšírili svoj rozsah s najväčšou pravdepodobnosťou preto, aby mohli v budúcnosti jednoduchšie vytvárať podvodné reklamy, ktoré budú propagovať na rovnakej platforme na akej kradli dáta z účtov svojich obetí. Popri tom sa ale začali viac zaujímať aj o kreditné karty svojich obetí, ktoré môžu ďalej zneužiť a vytiahnuť z nich peniaze.
Komentáre