橙子vp

Facebook的母公司Meta宣布它挫败了一款名为NodeStealer的新型恶意软件，该恶意软件于今年早些时候出现，旨在从各种网络浏览器中窃取cookie和登录凭证。 该恶意软件伪装成PDF和XLSX文件发布，Meta公司在部署该恶意软件约两周后首次发现了它，该恶意软件可能来自越南。

Meta公司立即采取行动消除威胁，包括联系相关服务提供商并提交删除请求。 该公司宣布，他们破坏NodeStealer的努力取得了成功，自2023年2月以来，没有观察到该恶意软件的新样本。

NodeStealer是一种新型恶意软件，通过JavaScript编写的Node.js执行。 这一特性使该恶意软件能够在Windows、macOS和Linux上运行，使其具有很强的通用性。 此外，该恶意软件具有高度隐蔽性，VirusTotal上的大多数AV引擎都未能将其标记为恶意软件。

该恶意软件以一个46-51MB的Windows可执行文件的形式发布，伪装成PDF或Excel文档，文件名会引起接收者的兴趣。 一旦启动，NodeStealer就会使用Node.js的自动启动模块在重启之间在受害者的机器上建立持久性。 该恶意软件在启动过程中添加了一个新的注册表键值，使其能够在未被发现的情况下在受害者机器上保持活跃。

NodeStealer恶意软件从各种网络浏览器中窃取Facebook、Gmail和Outlook的cookie和账户凭据。 它检索base64-encoded解密密钥以访问加密数据，并滥用Facebook API以提取有关被盗账户的信息，同时将请求隐藏在受害者的IP地址后面以逃避检测。

恶意软件窃取Facebook账户运行广告活动的能力，宣传错误信息或将毫无戒心的受众引向恶意软件分发网站。 NodeStealer最终会将窃取的数据发送到攻击者的服务器。

Facebook在发现NodeStealer后，于2023年1月关闭了该威胁行为者的服务器。 该社交媒体巨头还发布了有关DuckTail恶意软件操作和作为ChatGPT程序分发的恶意扩展的信息。 Facebook已在其公共GitHub存储库中共享了与这些威胁相关的IOC。