I cybercriminali hanno sviluppato e distribuito NodeLoader, un caricatore malware scritto in Node.js, sfruttando piattaforme come YouTube e Discord per colpire i giocatori con false promesse di hack e trucchi per videogiochi. Questo approccio inganna gli utenti e facilita l’installazione di infostealer e cryptominer, eludendo molti sistemi di sicurezza.
Meccanismo di attacco
- Distribuzione tramite social media e link fasulli:
- Gli aggressori condividono link su Discord e YouTube, apparentemente collegati a hack o trucchi per videogiochi.
- I link reindirizzano gli utenti a siti contraffatti che ospitano file dannosi.
- Archivio ZIP dannoso:
- Gli utenti scaricano un archivio ZIP contenente un eseguibile Node.js mascherato.
- Una volta avviato, l’eseguibile esamina il sistema dell’utente per verificare la presenza di applicazioni come browser, Discord, Telegram, Steam e altri programmi popolari.
- Esecuzione di script PowerShell e payload finali:
- Se vengono rilevati processi target, NodeLoader scarica ed esegue uno script PowerShell.
- Lo script scarica e avvia due payload:
- XMRig: un miner di criptovalute.
- Phemedrone Stealer: un infostealer progettato per rubare credenziali e cookie dai browser.
Caratteristiche del caricatore NodeLoader
- Sviluppo in Node.js:
- Node.js è un ambiente runtime JavaScript multipiattaforma utilizzato comunemente per lo sviluppo di applicazioni web e desktop.
- L’uso di Node.js consente agli attaccanti di sfruttare un linguaggio di scripting flessibile e ampiamente supportato.
- Compilazione con il modulo pkg di NPM:
- Node.js e le sue dipendenze vengono impacchettate in un unico file binario eseguibile tramite il modulo pkg di Node Package Manager.
- Il file binario generato è di grandi dimensioni (oltre 35 MB), rendendo difficile il rilevamento da parte di alcune soluzioni di sicurezza.
- Evasione dei rilevamenti:
- I file NodeLoader hanno una bassissima percentuale di rilevamento da parte di antivirus ed Endpoint Detection and Response (EDR).
- La dimensione del file e la mancanza di firme specifiche per il codice Node.js riducono ulteriormente la probabilità di essere bloccati.
Payload finali
- XMRig:
- Miner di criptovalute che utilizza la potenza di calcolo del dispositivo per estrarre Monero (XMR).
- Implementa tecniche di persistenza e di evasione, come la disattivazione del registro eventi di Windows e la rimozione di aggiornamenti relativi alla sicurezza.
- Phemedrone Stealer:
- Infostealer in grado di sottrarre:
- Credenziali di accesso.
- Cookie dei browser.
- Altri dati sensibili.
- I dati rubati vengono caricati su Telegram.
- Infostealer in grado di sottrarre:
- Lumma Stealer (opzionale):
- Un altro infostealer distribuito in alcune varianti della campagna.
Motivazioni dietro l’uso di Node.js
- Multipiattaforma: Node.js può essere eseguito su Windows, macOS, Linux e altri sistemi operativi.
- Difficoltà nel rilevamento:
- I binari Node.js compilati sono più difficili da analizzare rispetto ai file PE tradizionali.
- La scarsa presenza di firme per codice JavaScript dannoso complica il lavoro degli strumenti di sicurezza.
Mitigazioni consigliate
- Evitare il download di software non verificato:
- Non fidarsi di link condivisi su piattaforme pubbliche come YouTube o Discord, specialmente se legati a hack o trucchi di gioco.
- Implementare soluzioni di sicurezza avanzate:
- Utilizzare antivirus aggiornati e strumenti di rilevamento basati su comportamento per identificare attività anomale.
- Bloccare esecuzioni PowerShell non autorizzate:
- Monitorare e limitare l’uso di script PowerShell nei sistemi aziendali e personali.
- Aggiornare regolarmente i sistemi:
- Mantenere aggiornati i sistemi operativi e le applicazioni per mitigare vulnerabilità sfruttabili.
- Formazione degli utenti:
- Educare gli utenti sui rischi associati al download di file da fonti non attendibili.
Conclusione
NodeLoader rappresenta una minaccia emergente che combina tecniche avanzate di elusione con una distribuzione mirata a utenti specifici. Gli attacchi che sfruttano strumenti comuni come Node.js evidenziano l’importanza di una sicurezza informatica proattiva e di sistemi di rilevamento più sofisticati.
