Saldırganlar, sahte ve ele geçirilen kişisel Facebook hesaplarından oluşan bir botnet’ten Facebook Messenger aracılığıyla gönderilen kötü amaçlı mesajlarla milyonlarca Facebook işletme hesabını hedefliyor. Amaç, göz atma oturumlarını ve hesap çerezlerini engelleyebilecek, bilgi çalan bir kötü amaçlı yazılım yaymak ve araştırmacılara göre haftada 100.000 Facebook işletme hesabına saldırıyor.
Guardio Labs, 11 Eylül tarihli bir blog yazısında Python tabanlı hırsızın hedeflerin yaklaşık %1,4’üne veya ulaşılan yaklaşık 70 hedeften yaklaşık birine başarıyla bulaştığını açıkladı. Guardio, bu çabayı, Hırsızın etkileşimde bulunduğu Telegram kanalının yöneticisi.
“Facebook’un Messenger platformu, geçen ay, sahte ve ele geçirilmiş kişisel hesaplardan gelen, kötü amaçlı ekler içeren sonsuz mesajları yaymak için ağır bir şekilde suistimal edildi.” Oleg Zaytsev, Guardio Labs güvenlik araştırmacısı, gönderide şunu yazdı:
Gerçekten de son zamanlarda, Facebook ticari hesaplarını ele geçirmeyi amaçlayan çeşitli tehdit kampanyalarında bir artış oldu; bunların tümü, Telegram karanlık pazarlarında, bu hesapları daha fazla hain faaliyetlerde kullanılmak üzere siber suçlulara satmak üzere gelişen bir işletmeyi destekliyor.
“Belirli yüksek değere sahip hesaplardan, ele geçirilen yüzlerce ve binlerce işletme hesabının ‘günlüklerine’ (BM – Business Manager), itibarlı reklam hesaplarına ve hatta bağlantılı ödeme yöntemleri ve kredilere (Ajans Hesapları) kadar her şeyi sunan çok sayıda kanal ve kullanıcı görüyoruz. ,” diye yazdı Zaytsev.
MrTonyScam Facebook Saldırı Ayrıntıları
Araştırmaya göre, kampanyanın taktik ve tekniklerinden bazıları Vietnam merkezli bir tehdit aktörünün kullandığı önceki taktik ve tekniklerle eşleşiyor; geniş kapsamlı kampanyanın kurbanlarının büyük bir kısmı Kuzey Amerika, Avrupa, Asya ve Avustralya’da bulunuyor. .
Teknik açıdan bakıldığında, saldırının mesajları, oturum çerezlerini kaldırmak için kurbanların yüklü tarayıcılarını hedef alan sıkıştırılmış bir hırsız verisi içeriyor; Zaytsev, bunların daha sonra “hızlı ve etkili bir operasyonla” tehdit aktörlerinin IM kanallarına gönderildiğini yazdı.
Mesaj alıcılarının harekete geçmesini gerektirmesine rağmen, kampanyanın olağandışı başarı oranına katkıda bulunan çeşitli yönleri olduğunu ekledi. Bunlardan biri, içeriği farklılık gösteren ancak benzer bağlamı paylaşan mesajların, toplu postaları tarayan spam dedektörlerini geçme yeteneğidir. Örneğin, mesajların bazıları politikaları ihlal eden sayfaya yönelik şikayetlerdir, diğerleri ise muhtemelen hedef hesap tarafından reklamı yapılan bir ürünle ilgili soruları içerebilir. Zaytsev, bu varyasyon ve farklı dosya adlarının kullanımının yanı sıra farklı kelimelere Unicode karakterlerin eklenmesinin “her mesajı benzersiz kıldığını” yazdı.
Mesajlar ayrıca, mesajda gönderilen içerikle alakalı görünen bir bağlantı da içerir (örneğin, ürünün stok durumunu kontrol etmek için kullanılan bağlantı). Zaytsev, tıklandığında bağlantının RAR veya zip formatlarında arşivlenen “klasik hırsız” verisini indirdiğini ve bu verinin içeriğini gizlemek için çok adımlı bir işlem ve beş gizleme katmanı kullandığını yazdı. Yük aynı zamanda statik algılamayı önlemek için anında oluşturulur.
Araştırmacıya göre “Saldırı akışı, tekniklerin, serbest/açık platformun kötüye kullanılmasının yanı sıra çok sayıda gizleme ve gizleme yönteminin birleşiminden oluşuyor; bu da oldukça karmaşık bir akış anlamına geliyor.”
Gönderide, “basit ve anlaşılır Python betiği, çalıştırıldıktan sonra kurbanın bilgisayarında aradığı birçok popüler tarayıcıdan tüm çerezleri ve oturum açma verilerini (kaydedilmiş kullanıcı adları ve şifreler) çıkarır” diye açıkladı. “Bütün bunlar, dolandırıcılar arasında yaygın bir uygulama olan Telegram/Discord bot API’si kullanılarak bir Telegram kanalına gönderiliyor.”
Veri yükünün son eylemi, tüm çerezleri çaldıktan sonra silmek ve böylece kurbanların hesaplarını etkin bir şekilde kilitlemek oluyor. Zaytsev, bunun dolandırıcılara oturumlarını ele geçirmeleri ve şifreyi değiştirmeleri için zaman tanıdığını, böylece kurbanların çalınan oturumu iptal edemediğini veya şifreyi kendileri değiştiremediklerini söyledi.
Güvenlik Açıklarını Ortaya Çıkarma
MrTonyScam ve Facebook ticari kullanıcılarını hedef alan diğer kampanyalar, tehdit aktörlerinin hem şifresi kolayca çözülen şifreleri ve kullanıcı çerezlerini saklamaya devam eden modern tarayıcılarda hem de Facebook gibi sosyal medya hizmetlerinde güvenlik açıklarını nasıl ortaya çıkarmaya devam ettiğini gösteriyor.
Zaytsev, “Tehdit aktörleri bize ulaşmak, sosyal hesapları ele geçirmek ve meşru hizmetleri kötüye kullanmak için her zaman yeni yollar bulacak” diye yazdı. Bu arada, Facebook ve diğer sosyal medya hizmetlerinin hâlâ hesap ele geçirme olaylarını gerçek zamanlı olarak tespit etmekte başarısız olduğunu, Dark Web siber suç ekosisteminin büyüdüğünü ve giderek daha fazla tehdit aktörünü kendine çektiğini yazdı.
Bu tehditler, kullanıcıların tanımadıkları kullanıcılardan gelen tüm mesajları şüpheyle değerlendirmeleri konusunda daha fazla dikkatli olmalarını ve kötü amaçlı mesajların sosyal medyaya ulaşmadan önce karşı konulması için “daha fazla güvenlik algılama katmanı” kullanılmasını gerektirmektedir. Zaytsev, medya gelen kutusunu tavsiye etti.