Meta, Mart 2023’ten bu yana yaklaşık 10 kötü amaçlı yazılım ailesini yaymak için OpenAI’nin ChatGPT’sinden yararlandığı tespit edilen 1.000’den fazla kötü amaçlı URL’nin hizmetlerinde paylaşılmasını engellemek için adımlar attığını söyledi.
Gelişme, sahte ChatGPT web tarayıcısı uzantılarının, ele geçirilen işletme hesaplarından yetkisiz reklamlar yayınlamak amacıyla kullanıcıların Facebook hesabı kimlik bilgilerini çalmak için giderek daha fazla kullanılması zemininde gerçekleşti.
Meta, “Tehdit aktörleri, resmi web mağazalarında bulunan ve ChatGPT tabanlı araçlar sunduğunu iddia eden kötü amaçlı tarayıcı uzantıları oluşturuyor” dedi. “Daha sonra, insanları kötü amaçlı yazılım indirmeleri için kandırmak için bu kötü amaçlı uzantıları sosyal medyada ve sponsorlu arama sonuçları aracılığıyla tanıtacaklar.”
Sosyal medya devi, yıllar boyunca Ducktail adlı çok yönlü bir kötü amaçlı yazılım kampanyasının birkaç yinelemesini engellediğini ve operasyonun arkasındaki Vietnam’da bulunan kişilere bir durdurma ve vazgeçme mektubu yayınladığını da sözlerine ekledi.
Trend Micro, bir tweet dizisi geçen hafta, ChatGPT’nin Chromium destekli tarayıcılardan parolaları, oturum tanımlama bilgilerini ve geçmişi ayıklaması için Windows masaüstü istemcisi kılığına giren bir bilgi hırsızını ayrıntılı olarak açıkladı. Şirket, kötü amaçlı yazılımın Ducktail ile benzerlikler paylaştığını söyledi.
ChatGPT’nin yanı sıra tehdit aktörlerinin, insanları sahte bağlantılara tıklamaya ikna etmek için Google Bard, TikTok pazarlama araçları, korsan yazılım ve filmler ve Windows yardımcı programları gibi diğer “geçici sorunlara ve popüler konulara” kaydığı da gözlemlendi.
Meta’nın baş bilgi güvenliği yetkilisi Guy Rosen, “Bu değişiklikler, tehdit aktörlerinin herhangi bir hizmetin tüm operasyona ilişkin yalnızca sınırlı görünürlüğe sahip olmasını sağlamaya yönelik bir girişimi olabilir” dedi.
Saldırı zincirleri, öncelikle Facebook’ta işletme sayfalarını ve reklam hesaplarını yöneten veya bunlara bağlı olan kullanıcıların kişisel hesaplarını hedeflemek üzere tasarlanmıştır.
Kötü amaçlı yazılım, ChatGPT temalı kötü amaçlı URL’leri yaymak için sosyal medyayı kullanmanın yanı sıra Buy Me a Coffee, Discord, Dropbox, Google Drive, iCloud, MediaFire, Mega, Microsoft OneDrive ve Trello gibi çeşitli meşru hizmetlerde barındırılıyor.
Meta, NodeStealer adlı ve web tarayıcılarından çerezleri ve parolaları yağmalayarak Facebook, Gmail ve Outlook hesaplarını tehlikeye atabilen başka bir yeni türü ortaya çıkardığı için Ducktail, vahşi doğada tespit edilen tek hırsız kötü amaçlı yazılım değil.
Kötü amaçlı yazılımın Vietnam menşeli olduğu değerlendiriliyor ve Meta, Ocak 2023’ün sonlarında konuşlandırılmasından sonraki iki hafta içinde “onu bozmak ve hedef alınmış olabilecek kişilerin hesaplarını kurtarmalarına yardımcı olmak için harekete geçtiğini” belirtti.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Şirket tarafından analiz edilen örnekler, NodeStealer ikili dosyasının, pazarlama ve aylık bütçelerle ilgili dosya adlarına sahip PDF ve XLSX dosyaları olarak gizlenen Windows yürütülebilir dosyaları aracılığıyla dağıtıldığını gösteriyor. Dosyalar açıldığında, hassas verileri Chromium tabanlı tarayıcılardan sızdırmak için tasarlanmış JavaScript kodunu sunar.
NodeStealer, adını kalıcılığı ayarlamak ve kötü amaçlı yazılımı yürütmek için ana yük ile birlikte gelen Node.js platformlar arası JavaScript çalıştırma ortamının kullanımından alır. 27 Şubat 2023 itibarıyla yeni eser tespit edilmedi.
Meta, “Facebook kimlik bilgilerini hedefin tarayıcı verilerinden aldıktan sonra, kötü amaçlı yazılım bunu, reklamcılıkla ilgili hesap bilgilerini sıralamak için Facebook URL’lerine birkaç yetkisiz istekte bulunmak için kullanıyor” dedi. “Çalınan bilgiler daha sonra tehdit aktörünün yetkisiz reklamlar yayınlamak için kullanıcıların reklam hesaplarını değerlendirmesine ve ardından kullanmasına olanak tanır.”
Şirketin kötüye kullanım önleme sistemlerinin radarından kaçma girişiminde, hedeflenen kullanıcının cihazından Facebook API’lerine hileli talepler yapılır ve bu da faaliyete bir meşruiyet cilası verir.
Bu tür tehditlere karşı koymak için Meta, kullanıcılara kötü amaçlı yazılımları belirleme ve kaldırma konusunda rehberlik eden, işletmelerin bağlı Business Manager hesaplarını doğrulamasını sağlayan ve bir kredi limitine erişirken veya işletme yöneticilerini değiştirirken ek kimlik doğrulaması gerektiren yeni bir destek aracını kullanıma sunduğunu söyledi.