Bilgisayar korsanları, Windows PC’leri tehlikeye atmak için kurnazca bir oyunla, şüphelenmeyen kullanıcıları NodeStealer kötü amaçlı yazılımını indirmeye ikna etmek için kışkırtıcı görseller içeren Facebook reklamlarına yöneldi.
Bitdefender yakın zamanda kötü şöhretli NodeStealer kötü amaçlı yazılımını dağıtmak için kullanılan Facebook Business hesaplarının ele geçirildiği bu karmaşık kötü amaçlı reklam kampanyasını ortaya çıkardı.
Bu yeni kötü amaçlı reklam kampanyası biçimi, tarayıcı çerezleri, kayıtlı kullanıcı adları ve şifreler gibi değerli bilgileri çalmayı ve sonuçta kullanıcının çevrimiçi güvenliğini tehlikeye atmayı amaçlamaktadır.
NodeStealer Kötü Amaçlı Yazılım ve Kötü Amaçlı Reklam Kampanyaları
Siber suçlular, Meta’nın Facebook’taki reklam ağından yararlanmaya odaklanarak sosyal medya ağlarından giderek daha fazla yararlanıyor. Bu yaklaşım, geniş bir kullanıcı tabanını hedeflemelerine ve gizliliklerinden ödün vermelerine olanak tanır.
Bitdefender Laboratuvarları’ndaki araştırmacılar, bu kötü amaçlı reklamcılık kampanyasının çeşitli temel unsurlarını tespit etti; bunlar arasında kötü amaçlı reklamlar dağıtan ve kullanıcıları sürekli olarak çevrimiçi tehditlere maruz bırakan, güvenliği ihlal edilmiş 10 işletme hesabı da yer alıyor.
Yükseltilmiş bir NodeStealer kötü amaçlı yazılım sürümü, veri hırsızlığı yeteneklerini geliştirir. Baştan çıkarıcı görseller içeren profiller etkileşimi cezbeder. 140 farklı reklam kampanyası erişimi genişletiyor. Taktiksel reklam yönetimi, dönüşümlü reklamlarla tespit edilmekten kaçınır.
Facebook’ta NodeStealer kötü amaçlı yazılımıyla daha önce karşılaştığımızda, kötü amaçlı yazılım sahte PDF ve XLSX dosyaları gibi görünüyordu. Bununla birlikte, NodeStealer kötü amaçlı yazılımının son zamanlarda platformdaki kötü amaçlı reklamcılık kampanyası yoluyla yeniden ortaya çıkması, onun uyarlanabilirliğini ve saldırganların tekniklerini iyileştirme konusundaki kararlılığını göstermektedir.
NodeStealer Kötü Amaçlı Yazılımın ve Önceki Kampanyaların Geliştirilmiş İşlevselliği
Saldırganlar yalnızca NodeStealer kötü amaçlı yazılımını yeniden canlandırmakla kalmadı, aynı zamanda kripto para birimi cüzdanlarını hedefleme ve ek kötü amaçlı yazılımların indirilmesini kolaylaştırma yeteneği de dahil olmak üzere yeni özellikler de sundu.
Daha önce Netskope Threat Labs, Facebook kullanıcılarının kimlik bilgilerini ve tarayıcı verilerini çalmak için kötü amaçlı Python komut dosyalarını kullanan bir kampanyayı izlemişti. Bu kampanya öncelikle kötü amaçlı dosyalar içeren sahte Facebook mesajlarının kullanıldığı Facebook işletme hesaplarına odaklanıyor.
Saldırılar öncelikle Güney Avrupa ve Kuzey Amerika’daki kurbanları etkiledi; en çok hedeflenenler imalat hizmetleri ve teknoloji sektörleri oldu.
Kampanya, Python tabanlı NodeStealer’ın yeni bir versiyonu gibi görünüyor ve hala Facebook işletme hesaplarından ödün vermeye yönelik. Bununla birlikte, NodeStealer kötü amaçlı yazılımının daha önceki sürümlerinden farklı olarak bu varyant, yalnızca Facebook ile sınırlı olmamak üzere, mevcut tüm kimlik bilgilerini ve çerezleri de toplar.
Netskope’a göre, NodeStealer’ın bu özel çeşidi Facebook İçerik Dağıtım Ağı’nda (CDN) barındırılıyor ve kurbanlara Facebook mesajlarının eki olarak dağıtılıyor.
Saldırganlar, Facebook işletme sayfalarının sahiplerini veya yöneticilerini kötü amaçlı yazılım yükünü indirmeye ikna etmek için kusurlu ürünlerin resimlerini kullandı. Önceki NodeStealer kampanyalarından farklı olarak bu kampanyada, ilk yük olarak yürütülebilir bir dosya yerine bir toplu iş dosyası kullanılıyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.