Facebook を攻撃する NodeStealer は情報窃取マルウェア:セッション・クッキー侵害の容易さを証明

Facebook disrupts new NodeStealer information-stealing malware

2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta/Gmail/Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。


Facebook のセキュリティチームが、最新のブログ記事で説明しているように、同社は NodeStealer 配布キャンペーンの早い段階で、つまり、最初の展開からわずか2週間後に特定した。その後に同社は、このオペレーションを中断させ、影響を受けたユーザーのアカウント回復を支援した。

NodeStealer はあなたのアカウントを盗む

Facebook のエンジニアたちが NodeStealerマルウェアを発見したのは、2023年1月下旬のことであり、その攻撃をベトナムの脅威アクターに起因するものとしている。このマルウェアは、JavaScript で書かれ、Node.js を介して実行されることから、NodeStealer と呼ばれている。

Node.js により、このマルウェアは、Windows/macOS/Linux 上での動作を実現している。また、そのスティルス性により、VirusTotal 上の大半の AV エンジンは、このマルウェアを悪意あるものとしてマークできなかったという。

NodeStealer VT scan results
NodeStealer VT scan results (Facebook)

NodeStealer は、46MB~51MB というサイズを持つ、Windows 実行形式ファイルとして配布され、受信者の好奇心を得るような名前の、PDF/Excel 文書を装っている。それらのファイルが起動すると、Node.js の自動起動モジュールが悪用され、新たなレジストリキーが追加され、被害者のマシンを再起動する際の永続性が確立される。

Establishing persistence
Establishing persistence (Facebook)

このマルウェアの主な目的は、Google Chrome/Microsoft Edge/Brave/Opera などの、Chromium ベースの Web ブラウザに保存されている、Facebook/Gmail/Outlook のクッキーやアカウント認証情報を盗むことにある。

Scanning on specific filepaths for valuable data
Scanning on specific filepaths for valuable data (Facebook)

それらのデータは、ブラウザの SQLite データベース上で暗号化されているのが常である。しかし、この暗号化を逆転させることは、いまの情報窃盗ギャングにとっては些細なプロセスである。具体的に言うと、Chromium の “Local State” ファイルから、base64 エンコードされた復号キーを取得するだけで済んでしまう。

Cookie extraction and decryption
Cookie extraction and decryption (Facebook)

Facebookアカウントに関連する、クッキーや認証情報を見つけた NodeStealer は、次のステップであるアカウント偵察に入り、Facebook API を悪用して侵入したアカウントに関する情報を抽出する。

その際に NodeStealer は、Facebook の不正利用防止システムによる検出を回避するために、それらのリクエストを被害者の IP アドレスの背後に隠し、クッキーの値やシステム設定を悪用して、本物のユーザーのように見せかける。

このマルウェアが狙うのは、Facebook アカウントで広告キャンペーンを実行する機能である。この機能を悪用する脅威アクターは、偽情報を流布することが可能であり、また、無防備な視聴者を他のマルウェア配布サイトへ誘導することも可能だ。

Facebook の最新のマルウェア脅威レポートでも取り上げられている、Ducktail などの類似マルウェアがとる手口と同じである。NodeStealer は、すべての情報を不正に取得した後に、盗み出したデータを攻撃者のサーバに流出させる。

Data exfiltration
Data exfiltration (Facebook)

NodeStealer が発見された後の 2023年1月25日に、Facebook は脅威アクターのサーバをドメイン・レジストラに報告し、削除した。

また、今日のレポートで Facebook は、DuckTail マルウェアの継続的な運用や、ChatGPT プログラムとして配布されるマルウェアや、悪意のエクステンションなどに関する情報も共有している。

NodeStealer/DuckTail に加えて、ChatGPT を装うマルウェアの IOC に関心のある人々のために、Facebook の公開 GitHub リポジトリで、それらのデータは共有されている。

前日にダークウェブ追跡をやっている人と話していて、セッション・トークンをキャプチャして、二要素認証をバイパスしながら認証情報を盗み出すのは、いまや一般的な手口であり、そのためのツールキットまで販売されていると教えてもらいました。他にも、さまざまな手口があることが、2023/03/01 の「多要素認証 (MFA) バイパス:3種類の侵入ベクターについて解説する」で解説されています。よろしければ、以下の関連記事も、ご参照ください。

2022/11/12:Cookie 窃取と MFA バイパス
2022/11/02:MFA ガイダンス:Number Matching
2022/10/19:MFA の未来:フル・パスワードレスとは?
2022/09/20:MFA 疲れを狙う攻撃:フィッシングで根負
2022/09/11:Cookie セッション・ハイジャックの脅威

%d bloggers like this: