Meta’da yeni keşfedilen bir kötü amaçlı yazılım olan NodeStealer, Facebook tarafından tarayıcı çerezlerini çaldığı tespit edildi.
Bu güvenlik açığı nedeniyle, tehdit aktörleri, Gmail ve Outlook dahil olmak üzere platformdaki çeşitli hesaplara yasa dışı girişler elde edebilir. Tehdit aktörleri, geçerli kullanıcı oturum belirteçlerini tutan tanımlama bilgilerini yakalama taktiğini giderek daha fazla benimsiyor.
İki faktörlü kimlik doğrulama önlemlerini atlamalarını sağlar; kimlik bilgilerini çalmadan veya hedeflerle etkileşime girmeden hesapları ele geçirin.
Facebook’un güvenlik ekibi, NodeStealer’ı dağıtım kampanyasının erken bir aşamasında, ilk sürümünün yayınlanmasından sonraki iki hafta içinde tespit etti.
Şirket, durumu hızlı bir şekilde ele aldı ve etkilenen kullanıcıların hesaplarını kurtarmalarına yardımcı olarak, sonuçta operasyonu kesintiye uğrattı.
Ducktail Kötü Amaçlı Yazılım Odak Noktasında
Facebook’un güvenlik ekibi, birkaç yıl boyunca, Meta ve sektördeki muadilleri tarafından uygulanan önlemlere yanıt olarak uyarlanan Vietnam menşeli Ducktail’in çeşitli sürümlerini izledi ve engelledi.
Aşağıda, Ducktail’in hedeflediği platformlardan bahsetmiştik: –
- Google Chrome
- Microsoft Kenarı
- Cesur
- Firefox
- Dropbox
- Mega
NodeStealer
2023 yılının Ocak ayının sonlarında, Facebook mühendisleri NodeStealer kötü amaçlı yazılımını keşfettiler ve saldırıları Vietnamlı tehdit aktörlerine bağladılar.
Adını JavaScript’te uygulanması ve Node.js aracılığıyla yürütülmesi nedeniyle, kötü amaçlı yazılıma NodeStealer adı verildi.
Node.js’nin kullanımı, NodeStealer kötü amaçlı yazılımının aşağıdakiler de dahil olmak üzere birden çok işletim sisteminde çalışmasını sağlar:-
Ek olarak, kötü amaçlı yazılımın gizliliği, VirusTotal’daki neredeyse tüm AV motorları tarafından tespit edilmekten kurtulmasına izin veren Node.js’deki uygulamasına bağlanabilir.
NodeStealer kötü amaçlı yazılımı, 46 ila 51 MB arasında değişen bir Windows yürütülebilir dosyası olarak dağıtılır. Dosya, bir PDF veya Excel belgesi olarak gizlenmiş ve alıcının merakını uyandırmak için uygun bir şekilde adlandırılmıştır.
NodeStealer kötü amaçlı yazılımı dağıtıldıktan sonra kurbanın cihazına yeni bir kayıt defteri anahtarı eklemek için Node.js’nin otomatik başlatma modülünü kullanır.
Bu, kötü amaçlı yazılımın kalıcılık oluşturmasını kolaylaştırır ve makine yeniden başlatıldıktan sonra bile etkin kalmasına izin verir.
NodeStealer kötü amaçlı yazılımının temel amacı, aşağıdakiler gibi Chromium tabanlı web tarayıcılarında kaydedilen Facebook, Gmail ve Outlook hesapları için çerezleri ve oturum açma kimlik bilgilerini çalmaktır:-
- Google Chrome
- Microsoft Kenarı
- Cesur
- Opera
Bu veriler tipik olarak web tarayıcısının SQLite veritabanında şifrelenirken, şifre çözme işlemi nispeten basittir ve çoğu modern bilgi çalan kötü amaçlı yazılım tarafından kullanılır.
Bu kötü amaçlı yazılım programları, base64 kodlu şifre çözme anahtarını doğrudan Chromium’un “Yerel Durum” dosyasından alır.
NodeStealer, Facebook hesaplarıyla ilişkili tanımlama bilgilerini veya kimlik bilgilerini belirlediğinde, “hesap keşfi” adı verilen sonraki aşamaya geçer.
Bu aşamada, kötü amaçlı yazılım, güvenliği ihlal edilmiş hesap hakkında bilgi almak için Facebook API’sini kullanır. NodeStealer, Facebook’un kötüye kullanım önleme sistemleri tarafından tespit edilmekten kaçınmak için aldatıcı bir taktik kullanır.
Kurbanın aşağıdaki temel öğelerini kullanarak, isteklerini gerçek kullanıcı etkinliği olarak gizler ve kötü niyetlerini gizler:-
- IP adresi
- Çerez değerleri
- Sistem yapılandırması
Kötü amaçlı yazılım, reklam kampanyaları başlatmalarına izin veren Facebook hesaplarından kritik verileri almaya odaklanır.
Tehdit aktörleri, yanlış bilgi yaymak veya şüphelenmeyen izleyicileri kötü amaçlı yazılım dağıtmak için kullanılan kötü amaçlı sitelere yönlendirmek için bu erişimden yararlanır.
ChatGPT’yi Kötüye Kullanmak
Güvenlik uzmanları, OpenAI’nin ChatGPT’sinden yararlanan kötü amaçlı yazılım türlerini özenle araştırdı ve bunlarla mücadele etti.
Bu kötü amaçlı programlar, yapay zeka özellikli araçlar gibi görünerek kullanıcıları aldatır, ancak bunun yerine kötü amaçlı yazılım yüklemesi için bir ağ geçidi görevi görür.
Bunun dışında, birkaç aydır devam eden bir trend ve güvenlik analistleri tehdidi azaltmak için aktif olarak çaba harcıyorlar.
Mart 2023’ten bu yana, internetteki hesaplara yetkisiz erişim elde etmek için ChatGPT’den yararlanan kötü amaçlı yazılım ailelerinin sayısında gözle görülür bir artış oldu.
Ayrıca, bazı raporlar bu tür yaklaşık on ailenin tespit edildiğini öne sürüyor.
Kötü amaçlı içeriğin yayılmasıyla mücadele etmek için Facebook, ChatGPT temalı kötü amaçlı yazılım içeren 1.000’den fazla benzersiz URL’nin platformunda paylaşılmasını engelledi.
Bu bilgileri sektördeki meslektaşlarıyla proaktif bir şekilde paylaşarak platformlarını ve kullanıcılarını korumak için uygun önlemleri almalarını sağladılar.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin