• 發布單位:TWCERT/CC
• 更新日期:2023-05-12
• 點閱次數:6432

Facebook 旗下的資安防護研究團隊，日前新發現一個專門竊取資訊與各平台帳號的惡意軟體 NodeStealer；該惡意軟體會以竊取瀏覽器 cookie 的方式，來挾持使用者在多個平台的帳號所有權。

Facebook 資安團隊在報告中指出，該團隊的資安研究人員，在 2023 年 1 月下旬時發現 NodeStealer 的活動跡象，當時該惡意軟體主要攻擊越南境內的 Meta 旗下服務使用者；當時距離 NodeStealer 的初次布署於攻擊僅有兩個星期。

Facebook 在報告中表示，NodeStealer 是以 JavaScript 撰寫，並透過 Node.js 框架來執行，因此可在Windows、macOS 和 Linux 等不同作業系統跨系統運作；且 VirusTotal 上多數的防毒防駭引擎，當時都無法偵測出 NodeStealer。

NodeStealer 是一個偽裝成 PDF 檔或 Excel 試算表檔案的 Windows 可執行檔，且在散布時會使用讓使用者感興趣的檔名，以引誘使用者開啟該檔案；在使用者執行了 NodeStealer 後，該惡意軟體便會竊取使用者設備上安裝的 Chromium 瀏覽器（包括 Google Chrome、Microsoft Edge、Brave、Opera 等等）中的 Cookie，並竊取其中的 Facebook、Gmail、Outlook 登入資訊。

資安專家指出，竊取瀏覽器中的 cookie 已經成為新發現駭侵攻擊活動中常用的攻擊手法，原因是這樣可以直接取得受害者的帳號控制權，無需取得登入資訊，也不會被二階段登入驗證程序所阻擋。

建議使用者應避免自不明來源下載安裝任何可疑應用軟體，或開啟可疑檔案，以避免惡意軟體伺機入侵。