NodeLoader Un caricatore malware basato su Node.js

NodeLoader Un caricatore malware basato su Node

NodeLoader Un caricatore malware basato su Node.js

I cybercriminali hanno sviluppato e distribuito NodeLoader, un caricatore malware scritto in Node.js, sfruttando piattaforme come YouTube e Discord per colpire i giocatori con false promesse di hack e trucchi per videogiochi. Questo approccio inganna gli utenti e facilita l’installazione di infostealer e cryptominer, eludendo molti sistemi di sicurezza.

Meccanismo di attacco

  1. Distribuzione tramite social media e link fasulli:
    • Gli aggressori condividono link su Discord e YouTube, apparentemente collegati a hack o trucchi per videogiochi.
    • I link reindirizzano gli utenti a siti contraffatti che ospitano file dannosi.
  2. Archivio ZIP dannoso:
    • Gli utenti scaricano un archivio ZIP contenente un eseguibile Node.js mascherato.
    • Una volta avviato, l’eseguibile esamina il sistema dell’utente per verificare la presenza di applicazioni come browser, Discord, Telegram, Steam e altri programmi popolari.
  3. Esecuzione di script PowerShell e payload finali:
    • Se vengono rilevati processi target, NodeLoader scarica ed esegue uno script PowerShell.
    • Lo script scarica e avvia due payload:
      • XMRig: un miner di criptovalute.
      • Phemedrone Stealer: un infostealer progettato per rubare credenziali e cookie dai browser.

Caratteristiche del caricatore NodeLoader

  • Sviluppo in Node.js:
    • Node.js è un ambiente runtime JavaScript multipiattaforma utilizzato comunemente per lo sviluppo di applicazioni web e desktop.
    • L’uso di Node.js consente agli attaccanti di sfruttare un linguaggio di scripting flessibile e ampiamente supportato.
  • Compilazione con il modulo pkg di NPM:
    • Node.js e le sue dipendenze vengono impacchettate in un unico file binario eseguibile tramite il modulo pkg di Node Package Manager.
    • Il file binario generato è di grandi dimensioni (oltre 35 MB), rendendo difficile il rilevamento da parte di alcune soluzioni di sicurezza.
  • Evasione dei rilevamenti:
    • I file NodeLoader hanno una bassissima percentuale di rilevamento da parte di antivirus ed Endpoint Detection and Response (EDR).
    • La dimensione del file e la mancanza di firme specifiche per il codice Node.js riducono ulteriormente la probabilità di essere bloccati.

Payload finali

  1. XMRig:
    • Miner di criptovalute che utilizza la potenza di calcolo del dispositivo per estrarre Monero (XMR).
    • Implementa tecniche di persistenza e di evasione, come la disattivazione del registro eventi di Windows e la rimozione di aggiornamenti relativi alla sicurezza.
  2. Phemedrone Stealer:
    • Infostealer in grado di sottrarre:
      • Credenziali di accesso.
      • Cookie dei browser.
      • Altri dati sensibili.
    • I dati rubati vengono caricati su Telegram.
  3. Lumma Stealer (opzionale):
    • Un altro infostealer distribuito in alcune varianti della campagna.

Motivazioni dietro l’uso di Node.js

  • Multipiattaforma: Node.js può essere eseguito su Windows, macOS, Linux e altri sistemi operativi.
  • Difficoltà nel rilevamento:
    • I binari Node.js compilati sono più difficili da analizzare rispetto ai file PE tradizionali.
    • La scarsa presenza di firme per codice JavaScript dannoso complica il lavoro degli strumenti di sicurezza.

Mitigazioni consigliate

  1. Evitare il download di software non verificato:
    • Non fidarsi di link condivisi su piattaforme pubbliche come YouTube o Discord, specialmente se legati a hack o trucchi di gioco.
  2. Implementare soluzioni di sicurezza avanzate:
    • Utilizzare antivirus aggiornati e strumenti di rilevamento basati su comportamento per identificare attività anomale.
  3. Bloccare esecuzioni PowerShell non autorizzate:
    • Monitorare e limitare l’uso di script PowerShell nei sistemi aziendali e personali.
  4. Aggiornare regolarmente i sistemi:
    • Mantenere aggiornati i sistemi operativi e le applicazioni per mitigare vulnerabilità sfruttabili.
  5. Formazione degli utenti:
    • Educare gli utenti sui rischi associati al download di file da fonti non attendibili.

Conclusione
NodeLoader rappresenta una minaccia emergente che combina tecniche avanzate di elusione con una distribuzione mirata a utenti specifici. Gli attacchi che sfruttano strumenti comuni come Node.js evidenziano l’importanza di una sicurezza informatica proattiva e di sistemi di rilevamento più sofisticati.


Translate »
error: Il contenuto è protetto!!
Open chat
Salve,
possiamo aiutarti?