Facebook hat eine neue Malware namens „NodeStealer“ entdeckt, die auf Meta verbreitet wird und es Angreifern ermöglicht, Browser-Cookies zu stehlen, um Konten auf der Plattform sowie Gmail- und Outlook-Konten zu hijacken. Dabei werden gültige Benutzersitzungstoken von Cookies erfasst. Bei dieser Taktik handelt es sich um eine Angriffs-Methode, die bei Cyberkriminellen immer beliebter wird. Sie ermöglicht es den Angreifern, Konten zu kapern, ohne Anmeldeinformationen zu stehlen oder mit dem Ziel interagieren zu müssen. Ausserdem kann mit dieser Methode die Zwei-Faktor-Authentifizierung (2FA) problemlos umgangen werden.
NodeStealer stiehlt Konten
Facebook entdeckte die NodeStealer-Malware erstmals Ende Januar 2023. Die Angriffe wurden auf vietnamesische Bedrohungsakteure zurückgeführt. Die Malware heißt NodeStealer, da sie in JavaScript geschrieben ist und über Node.js ausgeführt wird. Node.js macht die Malware lauffähig unter Windows, macOS und Linux. Die Malware nutzt Node.js als Tarnung, so dass fast alle Anti-Viren-Tools sie nicht als bösartig erkennen und markieren.
NodeStealer tritt als ausführbare Windows-Datei in Erscheinung. Die ausführbare Windows-Datei ist so getarnt, dass sie als PDF- oder Excel-Dokument mit einem angemessenen Namen erscheint, um die Neugier des Empfängers zu wecken.
Das Hauptziel der Malware besteht darin, Cookies und Kontoanmeldeinformationen für Facebook, Gmail und Outlook zu stehlen, die in Chromium-basierten Webbrowsern wie Google Chrome, Microsoft Edge, Brave, Opera usw. gespeichert sind.
Wenn NodeStealer Cookies oder Anmeldeinformationen findet, die sich auf Facebook-Konten beziehen, wird die nächste Phase des „Kontodiebstahls“ gestartet. Dazu missbraucht NodeStealer die Facebook-API, um Informationen über das kompromittierte Konto zu extrahieren.
Um der Erkennung durch die Anti-Missbrauchssysteme von Facebook zu entgehen, versteckt NodeStealer diese Anfragen hinter der IP-Adresse der Opfer und verwendet deren Cookie-Werte und Systemkonfiguration, um wie ein echter Benutzer zu wirken.
Die Schlüsselinformationen, nach denen die Malware sucht sind Facebook-Konten, mit deren Hilfe sie Werbekampagnen durchführen können. Die Bedrohungsakteure nutzen solche Konten, um Fehlinformationen zu verbreiten oder ahnungslose Nutzer zu anderen Malware-Verbreitungsseiten zu lotsen.
Nach der Entdeckung meldete Facebook den Server des NodeStealer-Bedrohungsakteurs dem Domain-Registrar. Am 25. Januar 2023 wurde der Server abgeschaltet.
Im heutigen Bericht teilte Facebook auch Informationen über Malware und bösartige Erweiterungen mit, die als ChatGPT-Programme verbreitet werden. Da NodeStealer für einen gewissen Zeitraum unentdeckt und erfolgreich agieren konnte, ist davon auszugehen, dass in Kürze noch besser getarnte, NodeStealer-ähnliche Malware als ChatGPT-Programme verbreitet werden. Also, aufgepasst beim Surfen und beim Download von PDF-, Excel- und ausführbaren Windows-Dateien!
Dieser Beitrag zum Thema „Künstliche Intelligenz (KI) und ChatGPT“ könnte dich auch interessieren: