インターネット広告業界を標的にした新たなマルウェア「NodeStealer」が登場し、特にFacebook広告アカウントを狙っています。このマルウェアは、クレジットカード情報やSNSの認証情報を盗み、被害者のアカウントに不正アクセスを行うことが確認されています。
本記事では、NodeStealerがどのようにしてこれらの情報を盗み取るのか、その手口と対策方法について詳しく解説します。
NodeStealerマルウェアとは?
2024年11月、サイバーセキュリティの専門家たちは「NodeStealer」と呼ばれるマルウェアの新たなバージョンに警鐘を鳴らしました。このマルウェアは、Facebookの広告アカウントを標的とし、ウェブブラウザに保存されたクレジットカード情報を盗み出す能力を持っています。
NodeStealerは2024年に注目されたマルウェアで、Facebookの広告アカウントや保存されたクレジットカード情報を狙うサイバー攻撃ツールです。当初はJavaScriptで作成されていましたが、現在はPythonベースの情報窃取型マルウェアとして進化しました。特に、Facebookアカウントの乗っ取りや広告マネージャーを悪用する手口で知られていますが、それだけではありません。
NodeStealerはWindowsの「Restart Manager」という正規のプログラムを利用して、他のプロセスによって使用中のSQLiteデータベースファイルをアンロックし、ウェブブラウザからクレジットカード情報を抽出します。
実際の被害例として、2024年11月3日以降、Bitwardenというパスワードマネージャーを装ったFacebookの広告が確認されているようです。
NodeStealerの手口と仕組み
Facebook広告アカウントを標的に
NodeStealerは、被害者が普段使用しているブラウザに保存されたログイン情報(クッキー)を盗むことで、本人に代わってFacebook広告アカウントにログインします。主な目的は、Facebookアカウントに関連するデータを収集し、アカウントの乗っ取りを可能にすることです。特に、Facebookの広告マネージャーアカウントを狙い、広告キャンペーンの予算情報を収集することで、悪意のある広告活動(マルバタイジング)に利用することが目的です。
結果、広告主はクレジットカード請求で多額の負債を抱えるハメになりますし、攻撃者はフィッシングサイトや悪意のあるリンクを多くの人に届けることができるといういわけです。
そもそも、どうやってクッキーを盗むのか?
NodeStealerは、被害者のコンピューターやブラウザ内に保存されているクッキーを悪用します。クッキーとは、Webサイトにアクセスする際にブラウザが自動的に保存する小さなデータのことです。このデータには、ユーザーがログインした状態を保持するためのセッションIDや認証情報が含まれており、特にSNSやオンラインサービスにとって重要な情報が格納されています。
NodeStealerがこの情報を盗む方法は以下の通り。
マルウェアのインストール
NodeStealerは、まず被害者のコンピューターにインストールされる必要があります。これには、フィッシング攻撃や悪意のあるリンクを使って、ユーザーが感染するように仕向けられます。
ブラウザのメモリへのアクセス
インストール後、NodeStealerはブラウザ内のクッキーを含むデータにアクセスします。ブラウザに保存されたクッキーは、通常は暗号化されていませんが、特に古いブラウザや脆弱性があるブラウザでは、攻撃者が容易にアクセスできる状態になっていることがあります。
セッション情報の取得
攻撃者は、保存されたクッキー情報を使って、ユーザーがログインした状態のセッションを「再利用」することができます。つまり、クッキー情報を使って、ユーザーがログインしているFacebookやその他のサービスに不正にアクセスし、実際にそのユーザーとして行動します。
情報の送信
盗んだクッキー情報は、攻撃者に送信され、攻撃者はその情報を使って、SNSのアカウントやオンラインサービスにアクセスし、不正な操作や詐欺行為を行います。
NodeStealerは、これらのクッキー情報を利用して、Facebook広告アカウントにアクセスするわけです。
なぜ(アカウントの乗っ取りが)バレないのか?
攻撃者はこれを利用し、被害者が設定した広告予算を不正に使って、自身の詐欺サイトや危険なリンクを含む広告を配信します。
一見すると広告主からすぐにバレそうですが、攻撃者はアカウントを乗っ取った直後、短期間で大量配信したり、また通知の無効化や時間帯を狙うなどして、広告主が気づく前に目的を達成するわけです。
Facebookだけではない
また、ユーザーの目に触れる広告の範囲がFacebookだけとは限りません。Facebook本体だけでなく、Instagram(Facebookの傘下)やAudience Network(Facebookが管理するパートナーサイトやアプリ)が含まれます。
その結果、広告をクリックした人々が詐欺サイトへ誘導され、さらなる被害が広がります。この手口により、攻撃者は広告収益を手に入れると同時に、次の犯罪活動の資金を調達し、さらなるサイバー犯罪に資金を流用します。
さらに、クレジットカード情報の窃取
被害は【アカウントの乗っ取り】だけではありません。NodeStealerの攻撃では、「Restart Manager」と呼ばれるWindowsの正規機能を悪用する手口が含まれています。この機能は通常、ソフトウェア更新時にシステムの再起動を最小限に抑えるために利用されますが、攻撃者はこれを利用して、ユーザーが使用中のブラウザを一時停止・再起動させ、その過程で保護された情報にアクセスします。
具体的には、ブラウザに保存されたクレジットカード情報やパスワードが、再起動中の一瞬の隙をついてアンロックされます。その後、盗み取った情報は暗号化され、Telegramなどのメッセージングサービスを通じて攻撃者に送信されます。Telegramは匿名性が高く、データの追跡が困難なため、サイバー犯罪者にとって便利なツールとなっています。
この手口により、保存されているクレジットカード番号、期限、CVVコードなどがすべて盗まれ、不正利用される危険性があります。被害を防ぐためには、ブラウザにクレジットカード情報を保存しないことや、セキュリティソフトの導入、不審な動作があれば早急に調査することが重要です。
被害事例:偽のBitwarden広告
実際、2024年11月にBitwardenというパスワードマネージャーを装ったFacebookの広告が確認されています。この広告は、偽のGoogle Chrome拡張機能のインストールを促し、ユーザーの情報を収集するために利用されていました。このような手口は信頼できるブランドを悪用することで、より多くの被害者を引き寄せます。
NodeStealerの背後にいる攻撃者
このマルウェアの背後にはベトナムの脅威アクターがいるとされ、彼らはFacebookのビジネスアカウントを狙って悪意のある活動を展開しています。特に、広告キャンペーンの乗っ取りやアカウントの不正利用が確認されています。
NodeStealerから身を守る方法
NodeStealerのような脅威から自分を守るためには、以下の対策が効果的です:
1. 不審な広告やリンクをクリックしない
信頼できるブランドを装った広告であっても、公式サイトからの情報であることを確認しましょう。
2. セキュリティソフトの導入と更新
最新のセキュリティソフトを使用し、定期的に更新することで、マルウェアの侵入を防ぎます。
3. ブラウザのセキュリティ設定を強化する
保存されたクレジットカード情報やパスワードの管理に注意し、必要に応じて削除や保護を行いましょう。
4. 二要素認証の利用
Facebookなどの重要なアカウントには、二要素認証を設定し、不正アクセスを防止します。
5. 定期的なアカウントの監視
広告アカウントやビジネスアカウントの活動を定期的にチェックし、異常な動きがないか確認しましょう。
まとめ
NodeStealerは進化したマルウェアとして、多くの被害者を生み出す危険なツールです。しかし、適切なセキュリティ対策を講じることで、その被害を未然に防ぐことが可能です。サイバーセキュリティ意識を高め、最新の情報を活用することが、攻撃を防ぐ鍵となります。
出典
The Hacker News: NodeStealer Malware Targets Facebook Ad Accounts and Steals User Data
