Les cookies stockés dans votre navigateur et les données d’accès des comptes Gmail et Outlook sont également au menu du malware NodeStealer.
Un malware basé sur Node.js nommé « NodeStealer” collecte des cookies et des données d’accès pour les comptes d’utilisateurs de Facebook, Gmail et Outlook à partir des navigateurs Web courants. Les acteurs malveillants derrière le logiciel malveillant écrit en JavaScript utilisent ensuite les comptes infiltrés à d’autres fins criminelles.
Le nouveau malware NodeStealer cible Facebook, Gmail et Outlook
Les chercheurs en sécurité de Meta ont récemment découvert des informations sur un malware distribué via Facebook appelé « NodeStealer» que des acteurs malveillants ont déjà utilisés pour infiltrer de nombreux comptes tiers sur le réseau social. En lisant les cookies du navigateur et les données d’accès, ils détournent également les comptes Gmail et Outlook de leurs victimes.
Le malware, découvert pour la première fois fin janvier 2023, est écrit en JavaScript et s’exécute sur l’environnement d’exécution open source multiplateforme Node.js. Cela permet d’exécuter l’Infostealer sur tous les systèmes d’exploitation courants tels que Windows, macOS et Linux.
NodeStealer collecte des cookies et accède aux données des navigateurs Web
Les scanners de virus n’offraient pas de protection efficace contre les logiciels malveillants au moment de la détection, comme l’a révélé l’analyse d’un fichier NodeStealer.
« Au moment de la détection, ce fichier n’avait qu’une seule détection sur VirusTotal. C’est probablement parce que le fichier se compose presque entièrement de l’environnement Node.js et contient un nouveau code malveillant. »
Le fichier de 46 à 51 mégaoctets est déguisé en document PDF ou Office sur les systèmes des utilisateurs de Facebook. Avec le module de démarrage automatique Node.js et l’ajout d’une clé de registre, le logiciel s’assure qu’il survivra également à un redémarrage du système d’exploitation.
Enfin, lorsqu’il est actif, le malware NodeStealer collecte des cookies et des mots de passe enregistrés pour Facebook, Gmail et Outlook à partir de navigateurs Web basés sur Chromium tels que Google Chrome, Microsoft Edge, Brave, Opera ou Vivaldi.
Le logiciel malveillant utilisant la bibliothèque Node.js sait même comment crypter la base de données SQLite du navigateur respectif, où les données collectées sont généralement stockées.win32crypt » à craquer.
Les attaquants veulent lancer des campagnes publicitaires malveillantes
Une fois que le logiciel malveillant NodeStealer détecte des cookies ou des informations d’identification valides, il les transmet au serveur d’un attaquant. De plus, il récupère des informations sur le compte infiltré à partir de l’API Facebook. Par exemple, pour savoir si des campagnes publicitaires peuvent être lancées.
Les acteurs malveillants veulent probablement attirer d’autres utilisateurs de Facebook vers des sites Web douteux à des fins criminelles. Enfin, grâce aux publicités, ils peuvent propager encore plus de logiciels malveillants et voler des données utilisateur sensibles.
Lorsqu’il envoie des requêtes à l’API Facebook, le malware NodeStealer se cache derrière l’adresse IP et la configuration système de la victime. Cela la fait apparaître comme une véritable utilisatrice et échappe aux systèmes anti-abus de Facebook.
Les ingénieurs de Facebook ont soumis leurs découvertes au registraire de domaine concerné. Le 25 janvier 2023, le serveur de l’attaquant a été mis hors ligne.
Même si la campagne de diffusion s’est apparemment arrêtée, les utilisateurs de Facebook doivent continuer à être prudents et à prendre des mesures de protection. Car il n’est pas exclu que les acteurs criminels à l’origine du malware NodeStealer se regroupent et poursuivent leur travail ailleurs.