Auch in Deinem Browser gespeicherte Cookies und Zugangsdaten von Gmail- und Outlook-Konten stehen auf der Speisekarte der NodeStealer-Malware.
Eine Node.js-basierte Malware mit dem Namen “NodeStealer” sammelt Cookies und Zugangsdaten für Benutzerkonten von Facebook, Gmail und Outlook aus gängigen Webbrowsern. Die böswilligen Akteure hinter der in JavaScript geschriebenen Schadsoftware missbrauchen die infiltrierten Accounts anschließend für weitere kriminelle Zwecke.
Neue NodeStealer-Malware hat es auf Facebook, Gmail und Outlook abgesehen
Sicherheitsexperten von Meta haben kürzlich Informationen über eine via Facebook verbreitete Malware namens “NodeStealer” veröffentlicht, mit der böswillige Akteure bereits zahlreiche fremde Benutzerkonten des sozialen Netzwerks infiltrieren konnten. Durch das Auslesen von Browser-Cookies und Zugangsdaten kapern sie außerdem die Gmail- und Outlook-Accounts ihrer Opfer.
Die erstmals Ende Januar 2023 entdeckte Schadsoftware ist in JavaScript geschrieben und läuft über die plattformübergreifende Open-Source-Laufzeitumgebung Node.js. Das ermöglicht es, den Infostealer unter allen gängigen Betriebssystemen wie Windows, macOS und Linux auszuführen.
NodeStealer sammelt Cookies und Zugangsdaten aus Webbrowsern
Virenscanner boten zum Entdeckungszeitpunkt noch keinen effektiven Schutz vor der Malware, wie die Analyse einer NodeStealer-Datei ergab.
“Zum Zeitpunkt der Entdeckung hatte diese Datei nur eine Erkennung auf VirusTotal. Das liegt wahrscheinlich daran, dass die Datei fast vollständig aus der Node.js-Umgebung besteht und neuartigen Schadcode enthält.”
Facebook
Die 46 bis 51 Megabyte große Datei kommt getarnt als PDF- oder Office-Dokument auf die Systeme der Facebook-Nutzer. Durch das Autostart-Modul von Node.js und das Hinzufügen eines Registrierungsschlüssels sorgt die Software dafür, dass sie auch einen Neustart des Betriebssystems überdauert.
Ist die NodeStealer-Malware schließlich aktiv, so sammelt sie Cookies und gespeicherte Passwörter für Facebook, Gmail und Outlook aus Chromium-basierten Webbrowsern wie Google Chrome, Microsoft Edge, Brave, Opera oder Vivaldi.
Selbst die Verschlüsselung der SQLite-Datenbank des jeweiligen Browsers, in der die gesammelten Daten normalerweise gespeichert sind, weiß die böswillige Software unter Einsatz der Node.js-Bibliothek “win32crypt” zu knacken.
Angreifer wollen böswillige Werbekampagnen starten
Sobald die NodeStealer-Malware gültige Cookies oder Zugangsdaten aufgespürt hat, übermittelt sie diese an einen Server des Angreifers. Darüber hinaus ruft sie Informationen über das infiltrierte Konto von der Facebook-API ab. Beispielsweise um herauszufinden, ob sich darüber Werbekampagnen initiieren lassen.
Wahrscheinlich wollen die böswilligen Akteure darüber weitere Facebook-Nutzer für kriminelle Zwecke auf fragwürdige Webseiten locken. Durch Werbeanzeigen können sie schließlich noch mehr Schadsoftware verbreiten und brisante Nutzerdaten stehlen.
Bei ihren Anfragen an die Facebook-API versteckt sich die NodeStealer-Malware hinter der IP-Adresse und der Systemkonfiguration des Opfers. Dadurch erscheint sie wie ein echter Benutzer und entgeht den Missbrauchsschutzsystemen von Facebook.
Die Facebook-Ingenieure haben ihre Entdeckungen an die zuständige Domain-Registrierungsstelle übermittelt. Am 25. Januar 2023 nahm diese den Server des Angreifers daraufhin vom Netz.
Auch wenn die Verbreitungskampagne damit augenscheinlich gestoppt ist, sollten sich Facebook-Nutzer weiterhin in acht nehmen und schützende Maßnahmen ergreifen. Denn es ist nicht auszuschließen, dass sich die kriminellen Akteure hinter der NodeStealer-Malware neu aufstellen und ihre Arbeit an anderer Stelle fortsetzen.
