Meta blocca i malware Ducktail e NodeStealer

Meta blocca i malware Ducktail e NodeStealer

Meta ha bloccato gli info-stealer Ducktail e NodeStealer che possono rubare username, password e cookie dai browser per accedere agli account Facebook.
Meta blocca i malware Ducktail e NodeStealer
Meta ha bloccato gli info-stealer Ducktail e NodeStealer che possono rubare username, password e cookie dai browser per accedere agli account Facebook.

Meta ha pubblicato il report sulla sicurezza relativo al primo trimestre 2023. Oltre che estensioni e tool fasulli di ChatGPT, il team di sicurezza dell’azienda di Menlo Park ha individuato e bloccato altri malware, tra cui Ducktail e NodeStealer. Entrambi possono accedere agli account business di Facebook.

Meta blocca due info-stealer

Ducktail è un noto info-stealer che circola da alcuni anni. I cybercriminali contattano i dipendenti aziendali tramite email o servizi di messaggistica e cercano di convincerli a scaricare un file infetto da un servizio di hosting. Il malware può rubare le informazioni dai principali browser, incluso i cookie di sessione di Facebook. Ciò permette di ottenere l’accesso agli account business. Meta ha bloccato l’ultima versione di Ducktail e denunciato gli autori degli attacchi in Vietnam.

L’azienda di Menlo Park ha inoltre bloccato NodeStealer, del quale ha pubblicato un’analisi approfondita. L’info-stealer, scoperto a fine gennaio, è scritto in JavaScript e viene eseguito tramite Node.js (da cui il nome). Il malware può rubare cookie, username e password dai browser su Windows con l’obiettivo di accedere agli account di Facebook, Gmail e Outlook.

NodeStealer è un’eseguibile mascherato come file PDF o Microsoft Office. Quando eseguito, il malware stabilisce la persistenza aggiungendo una chiave nel registro di Windows per l’avvio automatico. Successivamente inizia a raccogliere credenziali (username/password) e cookie dai browser basati su Chromium (Chrome, Edge, Opera e Brave). NodeStealer riesce a decifrare i dati conservati dai browser in database SQLite.

Nel caso di Facebook sfrutta le API del social network per estrarre le informazioni sull’account business. L’obiettivo è avviare campagne di advertising per diffondere fake news o pubblicizzare siti che ospitano altri malware. Tutti i dati vengono infine inviati al server C2 (command and control). Meta ha bloccato l’info-stealer chiedendo al registar Namecheap di chiudere i domini usati dai cybercriminali.

Fonte: Meta
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 4 mag 2023
Link copiato negli appunti