« سرقت‌ کوکی‌ها و اطلاعات حساب کاربري در مرورگرهاي مبتنی‌ بر Chromium توسط‌ بدافزار NodeStealer»

شرکت‌ متا اخیراً خبر از کشف‌ یک‌ بدافزار سارق اطلاعات به‌ نام NodeStealer در شبکه‌ اجتماعی‌ متا داد. بدافزار مزبور مهاجمان را قادر به‌ سرقت‌ کوکی‌های‌ مرورگرها (با هدف سرقت‌ حساب های‌ کاربری‌ در شبکه‌ اجتماعی‌ متا، Gmail و Outlook) می‌سازد. شرکت‌ متا ادعا کرده که‌ NodeStealer را در مراحل‌ ابتدایی‌ توزیع‌ کشف‌ کرده و فعالیت‌های‌ آن را مختل‌ ساخته‌ است‌ و به‌ کاربران قربانی‌ آن در بازیابی‌ حساب های‌ کاربری‌ ایشان، کمک‌ کرده است‌. فعالیت‌های‌ NodeStealer برای‌ اولین‌ بار در ماه ژانویه‌ مشاهده شده است‌. از آنجایی‌ که‌ بدافزار NodeStealer با استفاده از جاوااسکریپت‌ نوشته‌ شده و از طریق‌ Node.js اجرا می‌ شود، نام NodeStealer برای‌ آن انتخاب شده است‌.

لازم به‌ ذکر است‌ Node.js بدافزار را قادر به‌ اجرا در سیستم‌ عامل‌های‌ مختلف‌ از جمله‌ ویندوز، لینوکس‌، مک‌اوس و ... می‌سازد. این‌ بدافزار در قالب‌ یک‌ فایل‌ اجرایی‌ ویندوز با حجم‌ حدود ٤٦-٥١ مگابایت‌ می‌ باشد که‌ خود را در قالب‌ فایل‌ های‌ pdf یا اکسل‌ جا می‌زند. به‌ محض‌ اجرا، بدافزار از ماژول Node.js که‌ به‌ صورت خودکار اجرا می‌شود استفاده می‌کند و یک‌ Registry Key جدید ایجاد می‌ کند تا از این‌ طریق‌ در فواصل‌ زمانی‌ بین‌ راه اندازی‌ های‌ مجدد سیستم‌ کاربر قربانی‌، بر روی‌ سیستم‌ هدف پایدار باقی‌ بماند. هدف اولیه‌ این‌ بدافزار، سرقت‌ کوکی‌ها و اطلاعات حساب کاربری‌ پلتفرم متا، Gmail و Outlook در مرورگرهای‌ مبتنی‌ بر Chromium نظیر گوگل‌کروم، اپرا، مایکروسافت‌ اج و... می‌باشد.

 گفتنی‌ است‌ این‌ اطلاعات معمولاً در پایگاه داده SQLite مرورگرها رمزنگاری‌ می‌شود؛ این‌ بدافزار برای‌ جلوگیری‌ از کشف‌ شدن توسط‌ ساز و کارهای‌ امنیتی‌، درخواست‌های‌ خود را در پس‌ آدرس IP فرد قربانی‌ مخفی‌ می‌نماید و از مقادیر کوکی‌ ها و پیکربندی‌ سیستم‌ ایشان برای‌ جا زدن خود به‌ جای‌ یک‌ کاربر واقعی‌، استفاده می‌کند. پس‌ از سرقت‌ اطلاعات مورد نظر، NodeStealer اطلاعات مزبور را به‌ سرور تحت‌ اختیار مهاجمان ارسال می‌کند. شرکت‌ متا پس‌ از کشف‌ بدافزار مزبور، سرور مهاجمان را در تاریخ‌ ٢٥ ژانویه‌ از کار انداخت‌. این‌ شرکت‌ در ادامه‌ اطلاعاتی‌ پیرامون فعالیت‌های‌ بدافزار DuckTail و نیز بدافزارها و برنامه‌های‌ آلوده منتسب‌ به‌ ChatGPT منتشر نموده است‌. برای‌ افرادی‌ که‌ به‌ IoCهای‌ مربوط به‌ NodeStealer, DuckTail و .... علاقه‌مند می‌باشند، اطلاعات مربوطه‌ در پلتفرم گیت‌هاب منتشر شده است‌.