Şüphelenmeyen Facebook Messenger kullanıcılarını hedef alan yeni bir tehdit ortaya çıktı.
“Python Infostealer” olarak adlandırılan bu kötü amaçlı yazılım, GitHub ve GitLab gibi popüler platformlardan kendi hain amaçları için yararlanarak karmaşık yöntemlerle kimlik bilgileri çalmak üzere tasarlanmıştır.
Python Infostealer'ın Gizli Yaklaşımı
Meşru sitelerin kötüye kullanılması Python Infostealer'ın stratejisinin merkezinde yer almaktadır.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
Tehdit aktörleri, kullanıcıların saygın kamu depolarına ve mesajlaşma uygulamalarına duyduğu güveni istismar ederek bunları Komuta ve Kontrol (C2) altyapılarının bir parçası olarak kullanır.
Bu, tespit edilmesi zor olabileceğinden, GitHub ve GitLab gibi web tabanlı veri havuzlarının kötü niyetli olarak kullanılmasını özellikle sinsi hale getiriyor.
Enfeksiyon, kurbanları arşivlenmiş dosyaları indirmeye teşvik eden görünüşte zararsız bir Facebook Messenger mesajıyla başlıyor.
Bu dosyalar, Python Infostealer'ın her biri kendine özgü özelliklere ve çalışma yöntemlerine sahip üç çeşidinden birini dağıtarak iki aşamalı bir bulaşma sürecini başlatır.
Cybereason Güvenlik Hizmetleri'nin en son Tehdit Analizi Raporu, bu endişe verici gelişmeyi aydınlatıyor ve bu dijital yırtıcıya karşı korunmaya yönelik öngörüler ve öneriler sunuyor.
Üçlü Tehdit
Python Infostealer'ın, yaratıcılarının uyarlanabilirliğini ve kurnazlığını sergileyen üç çeşidi vardır.
İlk iki değişken normal Python komut dosyalarıdır, üçüncüsü ise daha geniş erişim ve etki için PyInstaller tarafından bir araya getirilen yürütülebilir bir dosyaya dönüşür.
Farklılıklarına rağmen tüm varyantlar, kullanıcı kimlik bilgilerini toplayıp Discord, GitHub ve Telegram gibi platformlara sızdırmak gibi ortak bir hedefi paylaşıyor.
| Birinci Varyant | İkinci Varyant | Üçüncü Seçenek | |
| GET isteği ipinfo[.]io kurbanın coğrafi konumunu belirlemek için. | ✔ | ||
| PyInstaller tarafından paketlenmiştir | ✔ | ||
| Yerel olarak kurulacak Python paketlerine bağlı değildir | ✔ | ✔ | ✔ |
| Dosyaları alt dizinine dağıtın C:\Kullanıcılar\Genel | ✔ | ✔ | |
| İşlev ve değişken adının gizlenmesi | ✔ | ✔ | |
| Veri sıkıştırma yoluyla gizleme | ✔ | ||
| Başlangıç Klasörü aracılığıyla Kalıcılık | ✔ | ✔ | ✔ |
| Aşamalı yükler | ✔ | ✔ | |
| Cesur Hedefler | ✔ | ||
| Coc Coc Tarayıcıyı Hedefler | ✔ | ✔ | ✔ |
| Kromu Hedefler | ✔ | ||
| Facebook Çerezlerini Hedefler | ✔ | ✔ | ✔ |
| Google Chrome Tarayıcıyı Hedefler | ✔ | ✔ | ✔ |
| Microsoft Edge'i hedef alıyor | ✔ | ✔ | ✔ |
| Mozilla Firefox'u hedefliyor | ✔ | ||
| Opera Web Tarayıcısını Hedefler | ✔ |
Python Infostealer'ın operasyonunun özellikle endişe verici bir yönü, çalınan kimlik bilgilerini iletmek için meşru platformları kullanmasıdır.
Kötü amaçlı yazılım, Telegram Bot API'sinden ve diğer mesajlaşma uygulamalarından yararlanarak toplanan verileri tehdit aktörlerine göndererek güvenlik ekipleri için tespit ve önlemeyi daha zorlu hale getiriyor.
Koruma Önerileri
Cybereason, Python Infostealer ile mücadele etmek için çeşitli proaktif önlemler önermektedir.
Bunlar arasında, Uygulama Denetiminin kötü amaçlı dosyaları engellemesini etkinleştirme, Dosyasız Korumayı etkinleştirme ve kullanıcıları, özellikle sosyal medya platformlarında, güvenilmeyen kaynaklardan dosya indirmenin tehlikeleri konusunda eğitme yer alıyor.
Kötü amaçlı yazılımın kodundaki ve adlandırma kurallarındaki dil ipuçlarına dayanan analiz, Python Infostealer'ın geliştiricilerinin veya bağlı kuruluşlarının Vietnamca konuşan kişiler olabileceğini öne sürüyor.
Bu içgörü yalnızca tehdidin kökenlerinin anlaşılmasına yardımcı olmakla kalmıyor, aynı zamanda siber güvenlik sorunlarının küresel doğasının da altını çiziyor.
GitHub ve GitLab'daki bazı depoların ve hesapların adları Vietnamca yazılmıştır.
GitLab hesabının takma adlarından biri, popüler bir Vietnam adı ve toplulukta yaygın bir takma ad olan Khoi Nguyen'di.
Python Infostealer'ın Facebook Messenger kullanıcılarına yönelik bir tehdit olarak ortaya çıkışı, siber tehditlerin gelişen ortamını vurguluyor.
Bu dijital avcılar, meşru platformlardan yararlanarak ve karmaşık taktikler uygulayarak gerçek ve mevcut bir tehlike oluşturuyor.
Bu tür sinsi saldırılara karşı korunmada dikkat, eğitim ve sağlam güvenlik önlemleri çok önemlidir.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.