Sofistike bir bilgi hırsızı olan Python tabanlı NodeStealer, yeni bilgileri hedef alacak ve gelişmiş teknikler kullanacak şekilde gelişti; oysa son versiyonları, Facebook Reklam Yöneticisi bütçe ayrıntılarını çalmaya odaklanıyor ve potansiyel olarak kötü amaçlı reklam kampanyalarına olanak tanıyor.
Artık tarayıcı kimlik bilgilerinin yanı sıra kredi kartı bilgilerini de çalıyorlar ve kötü amaçlı yazılım, güvenlik önlemlerini atlamak için tarayıcı veritabanlarının kilidini açmak için Windows Yeniden Başlatma Yöneticisini kullanıyor ve önemsiz kod gibi gizleme tekniklerini içeriyor.
Ek olarak, Python betiğini dinamik olarak oluşturmak ve yürütmek için toplu betiklerden yararlanır, bu da işlemlerine ek bir karmaşıklık katmanı ekler.
NodeStealer kötü amaçlı yazılımının yeni bir çeşidi, Facebook Business hesaplarının yanı sıra Facebook Reklam Yöneticisi hesaplarını da hedef alıyor; oturum açma kimlik bilgilerini ve çerezleri çalıyor ve bunları Facebook Graph API aracılığıyla erişim belirteçleri oluşturmak için kullanıyor.
Kötü amaçlı yazılım daha sonra ele geçirilen hesap hakkında kimlik, ad, para birimi, harcama limitleri ve harcama geçmişi gibi ayrıntılı bilgileri toplar.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
İlginç bir şekilde, kurbanın IP adresini kontrol ederek ve Vietnam’da bir konum tespit ederse çıkarak Vietnamlı kullanıcıları hedeflemekten kaçınıyor; bu da Vietnamlı saldırganların yerel kolluk kuvvetlerinden kaçmak için ülkeleri dışındaki kullanıcıları hedef aldığını gösteriyor.
Python NodeStealer, tarayıcı veritabanı dosyalarının kilidini açmak için Windows Yeniden Başlatma Yöneticisi’nden yararlanır; hassas bilgilerin çalınmasına olanak tanır; bu, veritabanı dosyalarının Yeniden Başlatma Yöneticisine kaydedilmesini ve bu dosyaları kilitleyen işlemleri sonlandırmak için ‘RmShutdown’ işlevinin kullanılmasını içerir.
Kötü amaçlı yazılım ayrıca kredi kartı bilgilerini, otomatik doldurma verilerini ve kayıtlı ödeme yöntemlerini saklayan “Web Verileri” SQLite veritabanından da çıkarıyor.
Saldırgan bu veritabanını sorgulayarak kart sahibinin adı, son kullanma tarihi ve kart numarası gibi önemli finansal ayrıntıları elde edebilir.
NodeStealer çeşitleri, artık geleneksel başlangıç klasörü yöntemlerini atlayarak sistem önyüklemesinde otomatik başlatmayı sağlamak için mevcut kullanıcının kayıt defteri anahtarını çalıştırdığından daha gelişmiş kalıcılık teknikleri kullanacak şekilde geliştirildi.
Tespitten kaçınmak için, bu varyantlar, kötü amaçlı komut dosyasını gizlemek için kapsamlı önemsiz kod içerir ve Python bilgi hırsızını yerel olarak bir araya getirmek ve yürütmek için toplu dosyalar aracılığıyla dinamik oluşturma kullanılır ve harici indirme ihtiyacını ortadan kaldırır.
Netskope’a göre çalınan veriler, IP adresi, ülke ve ana bilgisayar adı gibi sistem bilgilerinin yüke eklenmesiyle Telegram aracılığıyla sızdırılmaya devam ediliyor.
Önceki sürümlere kıyasla farklı teknikler kullanarak Facebook Reklam Yöneticisini ve kredi kartı verilerini hedef alan Python NodeStealer’ın yeni çeşitleri ortaya çıktı.
Bu tehditleri azaltmak için güvenlik ekiplerinin bu özel taktiklere göre geliştirilmiş gelişmiş tespit, önleme ve avlanma stratejileri uygulaması gerekir.
Kuruluşlar, bu kötü amaçlı yazılım çeşitlerinin kullandığı en son teknikler hakkında bilgi sahibi olarak sistemlerini ve hassas verilerini etkili bir şekilde koruyabilir.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.