Kötü amaçlı yazılım satıcıları, güvenlik çözümlerini engellemek ve oyunculara bilgi hırsızları ve kripto madencileri sunmak için Node.js’de yazılmış bir yükleyici olan NodeLoader’ı kullanıyor.
YouTube yorumlarındaki kötü amaçlı bağlantılar (Kaynak: Zscaler ThreatLabz)
Node.js yükleyicisinden yararlanan saldırganlar
Bu son kötü amaçlı yazılım dağıtım kampanyasında saldırganlar, (sahte) oyun web sitelerinde barındırıldığı iddia edilen oyun saldırılarına yol açan bağlantıları yayınlamak için YouTube ve Discord’u kullanıyor.
Sahte oyun hack/hile, sıkıştırıldığında Node.js’de derlenmiş kötü amaçlı bir yürütülebilir dosyayı gösteren kötü amaçlı bir ZIP arşivi biçiminde gelir.
Bu dosya kullanıcı tarafından çalıştırıldığında, öncelikle kullanıcının makinesinde bir dizi işlemden (yani uygulamalardan) herhangi birinin çalışıp çalışmadığını kontrol eder: Chrome, Opera, Frefox, Steam, Spotify, Discord, Telegram, Microsoft Gaming Install Services, Lightshot (ekran görüntüsü aracı) ve Epic Games Başlatıcısı.
En az bir tane bulursa, bir PowerShell betiği indirir ve bu komut dosyası da iki ek yürütülebilir dosyayı indirip kaydeder ve bunları çalıştırır: XMRig kripto para madencisi ve Phemedrone Stealer.
İlki, algılamadan kaçınmaya girişir, Windows Olay Günlüğü Hizmetini durdurmaya ve Windows Kötü Amaçlı Yazılımları Temizleme Aracı ile ilgili Windows güncellemelerini kaldırmaya çalışır ve kalıcılık sağlamak için bir hizmet oluşturur. İkincisi, Google ve Microsoft tarayıcılarından oturum açma kimlik bilgilerini, çerezleri vb. çalabilir ve bunları Telegram’a yükleyebilir.
Zscaler araştırmacıları, “Tehdit aktörleri, Phemedrone’u indirmenin yanı sıra, Lumma Stealer’a bir yükleyici sağlamak için ayrı bir kötü amaçlı URL kullandı.”
Saldırganlar neden Node.js kullanıyor?
Tehdit aktörlerinin Node.js’ye kötü amaçlı yazılım yükleyicileri yazdığı biliniyor.
Node.js, Chrome’un V8 JavaScript motoru üzerine kurulu, platformlar arası bir JavaScript çalışma zamanı ortamıdır.
Genellikle web tabanlı hizmetler oluşturmak için kullanılsa da, komut satırı araçları oluşturmak ve popüler işletim sistemlerini (Windows, macOS, Linux, Unix vb.) çalıştıran yaygın masaüstü platformları için istemci tarafı uygulamalar oluşturmak için de kullanılabilir.
“NodeLoader’ın kodu Node.js’de JavaScript kullanılarak yazılmıştır. Node.js kodu, gerekli tüm bağımlılıklarla birlikte, aşağıdakiler kullanılarak yürütülebilir bir ikili dosya halinde derlenir: [Node Package Manager] paket modül. Araştırmacılar, bu adımın, V8 JavaScript motoru kitaplığı da dahil olmak üzere Node.js kodunu çalıştırmak için gereken her şeyi paketlediğini açıkladı.
“Pkg NPM modülü kullanılarak derlendiğinde, tek bir kod satırı, 35 MB’ı aşan büyük bir Windows ikili dosyasıyla sonuçlanır. Bu büyük dosya boyutu, bazı güvenlik ürünlerinin tespitini zorlaştırır. Ayrıca, kötü amaçlı JavaScript tabanlı kodlara yönelik imzalar çok daha azdır. Sonuç olarak, bu kampanyayla ilişkili NodeLoader ikili dosyalarının çoğunda şu anda sıfır antivirüs ve EDR algılaması var.”
Bugün itibariyle, Zscaler tarafından tespit edilen NodeLoader çalıştırılabilir dosyaları hala çok kötü AV tespit sonuçlarına sahip. Ancak son yükler (kripto madencileri ve bilgi hırsızları) birçok çözüm tarafından tespit ediliyor.