Piratage : Facebook a mis fin à l’activité d’un nouveau malware nommé NodeStealer
Les équipes de Facebook ont fait la découverte d'un nouveau logiciel malveillant nommé NodeStealer qui a un objectif bien précis : pirater votre compte Facebook, Gmail, et Outlook. Faisons le point sur cette menace.
Les logiciels malveillants de type "infostealer" sont de plus en plus nombreux et les alertes à leur sujet sont fréquentes. Cette fois-ci, c'est du côté de Meta et plus précisément de Facebook que l'on a le droit à un nouveau rapport au sujet d'une menace nommée NodeStealer.
Récemment, les équipes de sécurité de chez Facebook ont fait la découverte de ce malware distribué par l'intermédiaire du réseau social et qui aura pu être distribué pendant deux semaines avant que la plateforme fasse le nécessaire. Dans le rapport, on apprend que Facebook a repéré pour la première fois NodeStealer à la fin du mois de janvier 2023.
Codé en JavaScript, le malware NodeStealer cherche à voler les cookies d'authentification présents sur les ordinateurs des victimes. Grâce à ces cookies, il devient possible de s'authentifier sur le service en question sans connaitre l'identifiant et le mot de passe de l'utilisateur, et tout en contournant l'authentification multifacteurs. Une méthode de plus en plus utilisée par les cybercriminels et qui se montre redoutable : l'utilisateur n'a pas besoin de renseigner son identifiant et mot de passe sur une page de phishing, puisqu'on vole les cookies déjà existants sur la machine.
NodeStealer est exécuté via Node.js, ce qui lui assure une compatibilité avec Windows, Linux et macOS afin de cibler un maximum d'utilisateurs. Cela lui permet aussi d'être plus difficile à détecter à en croire les résultats d'analyse sur VirusTotal (1 sur 69). Initialement, il se présente à l'utilisateur sous la forme d'un fichier PDF ou d'un fichier Excel. L'accès à un compte Facebook va permettre au malware de diffuser de la publicité (menant vers des sites malveillants, par exemple) au nom de l'utilisateur, en agissant depuis la machine de l'utilisateur. Ainsi, du côté de Facebook, le malware est visible via l'adresse IP de l'utilisateur afin d'éviter les soupçons.
Au-delà de voler les comptes Facebook, ce malware va aussi voler les cookies d'authentification pour Gmail et Outlook en allant piocher dans les données de plusieurs navigateurs : Google Chrome, Microsoft Edge, Opera, Brave, Firefox, etc. Normalement, ces données sont chiffrées dans la base de données SQLite du navigateur, mais la clé de déchiffrement est facilement accessible dans les fichiers de configuration du navigateur, ce qui rend le processus très simple pour tous les malwares...
Depuis le 25 janvier 2023, le domaine utilisé par les pirates pour distribuer NodeStealer a été supprimé. Toutefois, cela ne signifie pas que la menace a disparu de la circulation définitivement...