Facebook, Meta üzerinde dağıtılan ve tehdit aktörlerinin Gmail ve Outlook hesaplarının yanı sıra platformdaki hesapları ele geçirmek için tarayıcı çerezlerini çalmasına izin veren ‘NodeStealer’ adlı yeni bir bilgi çalan kötü amaçlı yazılım keşfetti.
Geçerli kullanıcı oturumu belirteçleri içeren çerezleri ele geçirmek, siber suçlular arasında popülaritesi artan bir taktiktir, çünkü kimlik bilgilerini çalmak veya hedefle etkileşime girmek zorunda kalmadan hesapları ele geçirmelerine ve aynı zamanda iki faktörlü kimlik doğrulama korumalarını atlamasına olanak tanır.
Facebook’un güvenlik ekibinin yeni bir blog gönderisinde açıkladığı gibi, NodeStealer’ı dağıtım kampanyasının başlarında, ilk dağıtımından sadece iki hafta sonra tespit etti. Şirket o zamandan beri operasyonu kesintiye uğrattı ve etkilenen kullanıcıların hesaplarını kurtarmasına yardımcı oldu.
NodeStealer hesaplarınızı çalıyor
Facebook mühendisleri, saldırıları Vietnamlı tehdit aktörlerine bağlayan NodeStealer kötü amaçlı yazılımını ilk olarak Ocak 2023’ün sonlarında tespit etti.
Kötü amaçlı yazılım, JavaScript ile yazıldığı ve Node.js aracılığıyla yürütüldüğü için NodeStealer olarak adlandırılır.
Node.js, kötü amaçlı yazılımı Windows, macOS ve Linux üzerinde çalışabilir hale getirir ve VirusTotal’daki neredeyse tüm AV motorlarının o sırada onu kötü amaçlı olarak işaretleyemediği için gizliliğinin de kaynağıdır.
NodeStealer, alıcının merakını uyandırmak için uygun şekilde adlandırılmış bir PDF veya Excel belgesi olarak görünecek şekilde gizlenmiş 46-51MB Windows yürütülebilir dosyası olarak dağıtılır.
Başladıktan sonra, Node.js’nin otomatik başlatma modülünü kullanır ve kurbanın makinesinde yeniden başlatmalar arasında kalıcılık sağlamak için yeni bir kayıt defteri anahtarı ekler.
Kötü amaçlı yazılımın birincil hedefi, Google Chrome, Microsoft Edge, Brave, Opera vb. Chromium tabanlı web tarayıcılarında depolanan Facebook, Gmail ve Outlook için çerezleri ve hesap kimlik bilgilerini çalmaktır.
Bu veriler normalde tarayıcıların SQLite veritabanında şifrelenir; ancak, bu şifrelemeyi tersine çevirmek, yalnızca Chromium “Yerel Durum” dosyasından base64 kodlu şifre çözme anahtarını alan tüm modern bilgi hırsızları tarafından uygulanan önemsiz bir işlemdir.
NodeStealer, Facebook hesaplarıyla ilgili tanımlama bilgileri veya kimlik bilgileri bulursa, ihlal edilen hesap hakkında bilgi almak için Facebook API’sini kötüye kullandığı bir sonraki aşama olan “hesap keşfi”ne girer.
NodeStealer, Facebook’un kötüye kullanım önleme sistemleri tarafından tespit edilmekten kaçınmak için bu istekleri kurbanın IP adresinin arkasına gizler ve gerçek bir kullanıcı gibi görünmek için çerez değerlerini ve sistem yapılandırmasını kullanır.
Kötü amaçlı yazılımın peşine düştüğü temel bilgi, Facebook hesabının, tehdit aktörlerinin yanlış bilgileri yönlendirmek veya hiçbir şeyden şüphelenmeyen izleyicileri diğer kötü amaçlı yazılım dağıtım sitelerine yönlendirmek için kullandığı reklam kampanyalarını yürütme yeteneğidir.
Bu, Facebook’un Ducktail gibi en son kötü amaçlı yazılım tehdidi raporunda da ele alınan benzer kötü amaçlı yazılım türleri tarafından takip edilen aynı taktiktir.
Tüm bu bilgileri çalan NodeStealer, çalınan verileri saldırganın sunucusuna sızdırır.
Keşfedildikten sonra Facebook, tehdit aktörünün sunucusunu alan adı kayıt kuruluşuna bildirdi ve 25 Ocak 2023’te kaldırıldı.
Bugünün raporunda Facebook, devam eden DuckTail kötü amaçlı yazılım operasyonları ve ChatGPT programları olarak dağıtılan kötü amaçlı yazılım ve kötü amaçlı uzantılar hakkında da bilgi paylaştı.
NodeStealer, DuckTail ve ChatGPT’yi taklit eden kötü amaçlı yazılımlarla ilgili IOC’lerle ilgilenenler için Facebook, verilerini Facebook’un genel GitHub deposunda paylaştı.