Facebook interrumpe el nuevo malware NodeStealer que roba información

Facebook descubrió un nuevo malware de robo de información distribuido en Meta llamado 'NodeStealer', que permite a los actores de amenazas robar cookies del navegador para secuestrar cuentas en la plataforma, así como cuentas de Gmail y Outlook.

La captura de cookies que contienen tokens de sesión de usuario válidos es una táctica que está creciendo en popularidad entre los ciberdelincuentes, ya que les permite secuestrar cuentas sin tener que robar credenciales o interactuar con el objetivo, al tiempo que evita las protecciones de autenticación de dos factores.

Como explica el equipo de seguridad de Facebook en una nueva publicación de blog, identificó NodeStealer al principio de su campaña de distribución, solo dos semanas después de su implementación inicial. Desde entonces, la compañía ha interrumpido la operación y ha ayudado a los usuarios afectados a recuperar sus cuentas.

NodeStealer roba tus cuentas

Los ingenieros de Facebook detectaron por primera vez el malware NodeStealer a fines de enero de 2023, atribuyendo los ataques a los actores de amenazas vietnamitas.

El malware se llama NodeStealer, ya que está escrito en JavaScript y ejecutado a través de Node.js.

Node.js hace que el malware sea capaz de ejecutarse en Windows, macOS y Linux, y también es la fuente de su sigilo, ya que casi todos los motores AV en VirusTotal no lo marcan como malicioso en ese momento.


NodeStealer se distribuye como un ejecutable de Windows de 46-51MB disfrazado para aparecer como un documento PDF o Excel con el nombre apropiado para incurrir en curiosidad para el destinatario.

Al iniciarse, utiliza el módulo de inicio automático de Node.js y agrega una nueva clave de registro para establecer la persistencia en la máquina de la víctima entre reinicios.


El objetivo principal del malware es robar cookies y credenciales de cuenta para Facebook, Gmail y Outlook, almacenadas en navegadores web basados en Chromium como Google Chrome, Microsoft Edge, Brave, Opera, etc.


Estos datos normalmente están encriptados en la base de datos SQLite de los navegadores; sin embargo, revertir este cifrado es un proceso trivial implementado por todos los ladrones de información modernos, que simplemente recuperan la clave de descifrado codificada en base64 del archivo "Estado local" de Chromium.


Si NodeStealer encuentra cookies o credenciales relacionadas con cuentas de Facebook, entra en la siguiente fase, "reconocimiento de cuenta", durante la cual abusa de la API de Facebook para extraer información sobre la cuenta violada.

Para evadir la detección por parte de los sistemas antiabuso de Facebook, NodeStealer oculta estas solicitudes detrás de la dirección IP de la víctima y utiliza sus valores de cookies y la configuración del sistema para aparecer como un usuario genuino.

La información clave que busca el malware es la capacidad de la cuenta de Facebook para ejecutar campañas publicitarias, que los actores de amenazas aprovechan para enviar información errónea o llevar audiencias desprevenidas a otros sitios de distribución de malware.

Esta es la misma táctica seguida de cepas de malware similares también cubiertas en el último informe de amenazas de malware de Facebook, como Ducktail.

Después de haber robado toda esa información, NodeStealer exfiltra los datos robados al servidor del atacante.


Tras el descubrimiento, Facebook informó el servidor del actor de amenazas al registrador de dominios, y fue retirado el 25 de enero de 2023.

En el informe de hoy, Facebook también compartió información sobre las continuas operaciones de malware de DuckTail y malware y extensiones maliciosas distribuidas como programas ChatGPT.

Para aquellos interesados en IOC relacionados con NodeStealer, DuckTail y malware que imita ChatGPT, Facebook ha compartido sus datos en el repositorio público GitHub de Facebook.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta