Blog News
« سرقت کوکیها و اطلاعات حساب کاربري در مرورگرهاي مبتنی بر Chromium توسط بدافزار NodeStealer»
« سرقت کوکیها و اطلاعات حساب کاربري در مرورگرهاي مبتنی بر Chromium توسط بدافزار NodeStealer»
شرکت متا اخیراً خبر از کشف یک بدافزار سارق اطلاعات به نام NodeStealer در شبکه اجتماعی متا داد. بدافزار مزبور مهاجمان را قادر به سرقت کوکیهای مرورگرها (با هدف سرقت حساب های کاربری در شبکه اجتماعی متا، Gmail و Outlook) میسازد. شرکت متا ادعا کرده که NodeStealer را در مراحل ابتدایی توزیع کشف کرده و فعالیتهای آن را مختل ساخته است و به کاربران قربانی آن در بازیابی حساب های کاربری ایشان، کمک کرده است. فعالیتهای NodeStealer برای اولین بار در ماه ژانویه مشاهده شده است. از آنجایی که بدافزار NodeStealer با استفاده از جاوااسکریپت نوشته شده و از طریق Node.js اجرا می شود، نام NodeStealer برای آن انتخاب شده است.
لازم به ذکر است Node.js بدافزار را قادر به اجرا در سیستم عاملهای مختلف از جمله ویندوز، لینوکس، مکاوس و ... میسازد. این بدافزار در قالب یک فایل اجرایی ویندوز با حجم حدود ٤٦-٥١ مگابایت می باشد که خود را در قالب فایل های pdf یا اکسل جا میزند. به محض اجرا، بدافزار از ماژول Node.js که به صورت خودکار اجرا میشود استفاده میکند و یک Registry Key جدید ایجاد می کند تا از این طریق در فواصل زمانی بین راه اندازی های مجدد سیستم کاربر قربانی، بر روی سیستم هدف پایدار باقی بماند. هدف اولیه این بدافزار، سرقت کوکیها و اطلاعات حساب کاربری پلتفرم متا، Gmail و Outlook در مرورگرهای مبتنی بر Chromium نظیر گوگلکروم، اپرا، مایکروسافت اج و... میباشد.
گفتنی است این اطلاعات معمولاً در پایگاه داده SQLite مرورگرها رمزنگاری میشود؛ این بدافزار برای جلوگیری از کشف شدن توسط ساز و کارهای امنیتی، درخواستهای خود را در پس آدرس IP فرد قربانی مخفی مینماید و از مقادیر کوکی ها و پیکربندی سیستم ایشان برای جا زدن خود به جای یک کاربر واقعی، استفاده میکند. پس از سرقت اطلاعات مورد نظر، NodeStealer اطلاعات مزبور را به سرور تحت اختیار مهاجمان ارسال میکند. شرکت متا پس از کشف بدافزار مزبور، سرور مهاجمان را در تاریخ ٢٥ ژانویه از کار انداخت. این شرکت در ادامه اطلاعاتی پیرامون فعالیتهای بدافزار DuckTail و نیز بدافزارها و برنامههای آلوده منتسب به ChatGPT منتشر نموده است. برای افرادی که به IoCهای مربوط به NodeStealer, DuckTail و .... علاقهمند میباشند، اطلاعات مربوطه در پلتفرم گیتهاب منتشر شده است.