Tehdit avcıları Python tabanlı yazılımın güncellenmiş bir sürümü hakkında uyarıda bulunuyor NodeStealer Artık kurbanların Facebook Reklam Yöneticisi hesaplarından daha fazla bilgi çıkarabilecek ve web tarayıcılarında depolanan kredi kartı verilerini toplayabilecek donanıma sahip.
Netskope Threat Labs araştırmacısı Jan Michael Alcantara, The Hacker News ile paylaştığı bir raporda “Kurbanlarının Facebook Reklam Yöneticisi hesaplarının bütçe ayrıntılarını topluyorlar, bu da Facebook’ta kötü amaçlı reklamlara geçit teşkil edebilir” dedi.
“NodeStealer tarafından kullanılan yeni teknikler arasında, tarayıcı veritabanı dosyalarının kilidini açmak için Windows Yeniden Başlatma Yöneticisinin kullanılması, gereksiz kod eklenmesi ve Python betiğini dinamik olarak oluşturmak ve yürütmek için bir toplu komut dosyası kullanılması yer alıyor.”
İlk olarak Mayıs 2023’te Meta tarafından kamuya açık olarak belgelenen NodeStealer, JavaScript kötü amaçlı yazılımı olarak başladı ve daha sonra, Facebook hesaplarının ele geçirilmesini kolaylaştırmak için Facebook hesaplarıyla ilgili verileri toplayabilen bir Python hırsızına dönüştü.
Diğer kötü niyetli faaliyetleri körüklemek için Facebook reklamlarını ve işletme hesaplarını ele geçirmeye odaklanan çeşitli kötü amaçlı yazılım ailelerinden yararlanma geçmişine sahip Vietnamlı tehdit aktörleri tarafından geliştirildiği değerlendiriliyor.
Netskopke’nin son analizi, NodeStealer yapılarının, çarpıcı Facebook Business hesaplarının yanı sıra, Facebook ve Instagram’daki reklam kampanyalarını yönetmek için kullanılan Facebook Reklam Yöneticisi hesaplarını da hedeflemeye başladığını gösteriyor.
Bunu yaparken, saldırganların amacının yalnızca Facebook hesaplarının kontrolünü ele geçirmek değil, aynı zamanda popüler yazılım veya oyun kisvesi altında kötü amaçlı yazılımın daha da yayılmasını sağlayacak kötü amaçlı reklam kampanyalarında kullanılmak üzere bu hesapları silah haline getirmek olduğundan şüpheleniliyor.
Michael Alcantara, “Yakın zamanda Facebook Graph API’sini kullanarak hesabın bütçe ayrıntılarını toplayan birkaç Python NodeStealer örneği bulduk” dedi. “Örnekler başlangıçta adsmanager.facebook’ta oturum açarak bir erişim belirteci oluşturuyor[.]com kurbanın makinesinde toplanan çerezleri kullanıyor.”
Kötü amaçlı yazılım, bu hesaplara bağlı jetonları ve işle ilgili bilgileri toplamanın yanı sıra, kolluk kuvvetlerinin eylemlerinden kaçmanın bir yolu olarak Vietnam’da bulunan makinelere bulaşmasını önlemek için açıkça tasarlanmış bir kontrol içeriyor ve bu da kökenlerini daha da sağlamlaştırıyor.
Bunun da ötesinde, belirli NodeStealer örneklerinin, muhtemelen diğer işlemler tarafından kullanılan SQLite veritabanı dosyalarının kilidini açmak için meşru Windows Yeniden Başlatma Yöneticisini kullandığı tespit edildi. Bu, kredi kartı verilerini çeşitli web tarayıcılarından çekmek amacıyla yapılır.
Veri sızıntısı Telegram kullanılarak gerçekleştiriliyor; bu da mesajlaşma platformunun, politikasında yapılan son değişikliklere rağmen siber suçlular için hala önemli bir vektör olmaya devam ettiğinin altını çiziyor.
Facebook aracılığıyla kötü amaçlı reklamcılık, her türlü kötü amaçlı yazılımı yaymak için genellikle güvenilir markaların kimliğine bürünen kazançlı bir enfeksiyon yoludur. Bu, sahte bir Google Chrome uzantısı yüklemek için Facebook sponsorlu reklamlar aracılığıyla Bitwarden şifre yöneticisi yazılımını taklit eden, 3 Kasım 2024’ten itibaren yeni bir kampanyanın ortaya çıkmasıyla kanıtlanmaktadır.
Bitdefender Pazartesi günü yayınlanan bir raporda, “Kötü amaçlı yazılım kişisel verileri topluyor ve Facebook işletme hesaplarını hedef alıyor, bu da potansiyel olarak bireyler ve işletmeler için mali kayıplara yol açıyor.” dedi. “Bu kampanya, tehdit aktörlerinin Facebook gibi güvenilir platformlardan yararlanarak kullanıcıları kendi güvenliklerinden ödün vermeye nasıl teşvik ettiğini bir kez daha vurguluyor.”
Kimlik Avı E-postaları, ClickFix Tekniğiyle I2Parcae RAT’ı Dağıtıyor
Bu gelişme, Cofense’in, sırasıyla I2Parcae RAT ve PythonRatLoader gibi kötü amaçlı yazılım ailelerini dağıtmak için web sitesi iletişim formları ve fatura temalı tuzaklar kullanan yeni kimlik avı kampanyaları konusunda uyarıda bulunmasıyla ortaya çıktı; PythonRatLoader, AsyncRAT, DCRat ve Venom RAT’ı dağıtmak için bir kanal görevi görüyor.
I2Parcae “meşru altyapı yoluyla e-postaları proxy olarak kullanarak Güvenli E-posta Ağ Geçidi (SEG) kaçırma, sahte CAPTCHA’lar, bırakılan dosyaları gizlemek için sabit kodlanmış Windows işlevselliğini kötüye kullanma ve C2 yetenekleri gibi çeşitli benzersiz taktiklere, tekniklere ve prosedürlere (TTP’ler) sahip olmasıyla dikkate değerdir. Cofense araştırmacısı Kahng An, uçtan uca şifrelemeye sahip, uçtan uca anonim bir ağ olan Görünmez İnternet Projesi (I2P) dedi.
“I2Parcae, virüs bulaştığında Windows Defender’ı devre dışı bırakabilir, hesaplar/gruplar için Windows Güvenlik Hesapları Yöneticisini (SAM) numaralandırabilir, tarayıcı çerezlerini çalabilir ve virüslü ana bilgisayarlara uzaktan erişim sağlayabilir.”
Saldırı zincirleri, e-posta mesajlarında bubi tuzaklı pornografik bağlantıların yayılmasını içerir; bu bağlantılar tıklandığında mesaj alıcılarını, içeriğe erişmek için kurbanları kodlanmış bir PowerShell komut dosyasını kopyalayıp çalıştırmaya teşvik eden sahte bir CAPTCHA doğrulama sayfasına yönlendirir. buna ClickFix adı verildi.
ClickFix, son aylarda, sözde bir hatayı giderme veya reCAPTCHA doğrulamasını tamamlama bahanesiyle şüphelenmeyen kullanıcıları kötü amaçlı yazılım indirmeye teşvik eden popüler bir sosyal mühendislik hilesi haline geldi. Ayrıca kullanıcıların kodu çalıştırarak kendilerine virüs bulaştırması nedeniyle güvenlik kontrollerinden kaçma konusunda da etkilidir.
Kurumsal güvenlik firması Proofpoint, ClickFix tekniğinin birden fazla “ilişkilendirilmemiş” tehdit aktörü tarafından bir dizi uzaktan erişim truva atı, hırsız ve hatta Brute Ratel C4 gibi istismar sonrası çerçeveleri sunmak için kullanıldığını söyledi. Hatta Ukrayna hükümet birimlerine sızmak için şüpheli Rus casusluk aktörleri tarafından da benimsendi.
Güvenlik araştırmacıları Tommy Madjar ve Selena Larson, “Tehdit aktörlerinin son zamanlarda kullanıcıyı ‘İnsan Olduğunu Doğrula’ (CAPTCHA) kontrolüyle doğruluyormuş gibi görünen sahte CAPTCHA temalı ClickFix tekniğini kullandıkları gözlemlendi.” dedi. “Etkinliğin çoğu, GitHub’da ‘eğitim amaçlı’ olarak sunulan reCAPTCHA Phish adlı açık kaynaklı bir araç setine dayanıyor.”
“Bu tekniğin sinsi tarafı, düşmanların insanların doğuştan gelen yardımsever ve bağımsız olma arzusunu yağmalamalarıdır. Hem sorun hem de çözüm gibi görünen bir şeyi sağlayarak insanlar, BT’lerini uyarmaya gerek kalmadan sorunu kendilerinin ‘çözme’ gücüne sahip olduklarını hissediyorlar. Ekip veya başka herhangi biri, kişinin virüsü kendisine bulaştırmasını sağlayarak güvenlik korumalarını atlıyor.”
Açıklamalar aynı zamanda sahte Docusign taleplerinden yararlanarak algılamayı atlatan ve sonuçta mali dolandırıcılık gerçekleştiren kimlik avı saldırılarındaki artışla da örtüşüyor.
SlashNext, “Bu saldırılar yükleniciler ve satıcılar için ikili bir tehdit oluşturuyor; acil mali kayıp ve potansiyel iş kesintisi.” dedi. “Sahte bir belge imzalandığında, yetkisiz ödemeleri tetikleyebilir ve aynı zamanda gerçek lisans durumu hakkında kafa karışıklığı yaratabilir. Bu belirsizlik, yeni projelere teklif verilmesinde veya mevcut sözleşmelerin sürdürülmesinde gecikmelere yol açabilir.”