Siber suçlular, Facebook iş sayfalarını ve reklamlarını kullanarak, şüphelenmeyen kullanıcıları SYS01 şifre çalma kötü amaçlı yazılımıyla enfekte eden sahte Windows temalarını tanıtıyor.
Kampanyaları gözlemleyen Trustwave araştırmacıları, tehdit gruplarının korsan oyun ve yazılımlar, Sora AI, 3D görüntü oluşturucu ve One Click Active için sahte indirmeleri de teşvik ettiğini söyledi.
Facebook reklamlarını bilgi çalan kötü amaçlı yazılımları yaymak için kullanmak yeni bir şey değil; ancak sosyal medya platformunun geniş erişimi bu tür kampanyaları önemli bir tehdit haline getiriyor.
Facebook reklamcılığı
Tehdit aktörleri, Windows temaları, ücretsiz oyun indirmeleri ve Photoshop, Microsoft Office ve Windows gibi popüler uygulamalar için yazılım etkinleştirme çatlaklarını tanıtan reklamlar yayınlıyor.
Bu reklamlar yeni oluşturulan Facebook işletme sayfaları aracılığıyla veya mevcut olanları ele geçirerek tanıtılır. Ele geçirilen Facebook sayfaları kullanıldığında, tehdit aktörleri reklamlarının temasına uyacak ve indirmeleri mevcut sayfa üyelerine tanıtacak şekilde yeniden adlandırır.
Trustwave raporunda, “Tehdit aktörleri Facebook sayfalarının adını değiştirerek işletme kimliğine bürünüyor, bu da mevcut takipçi tabanından yararlanarak sahte reklamlarının erişimini önemli ölçüde artırmalarına olanak tanıyor” ifadeleri yer alıyor.
“Bu sayfaların her birinin, farklı zamanlarda Vietnam veya Filipinler’de bulunan kişiler tarafından yönetildiğinin altını çizmekte fayda var.”
Trustwave, tehdit gruplarının her kampanya için binlerce reklam çıkardığını, en iyi kampanyaların blue-softs (8.100 reklam), xtaskbar-themes (4.300 reklam), newtaskbar-themes (2.200 reklam) ve awesome-themes-desktop (1.100 reklam) olduğunu söylüyor.
Bir Facebook kullanıcısı reklama tıkladığında, reklamın tanıtılan içeriği için indirme sayfaları gibi görünen Google Sites veya True Hosting’de barındırılan web sayfalarına yönlendirilir.
True Hosting sayfaları öncelikli olarak, iddiaya göre ücretsiz yazılım ve oyun indirme hizmeti sunan Blue-Software adlı bir web sitesini tanıtmak için kullanılıyor.
‘İndir’ düğmelerine tıklamak, tarayıcının belirli öğenin adını taşıyan bir ZIP arşivini indirmesine neden olur. Örneğin, sahte Windows temalarını indirmek ‘Awesome_Themes_for_Win_10_11.zip’ adlı bir arşiv sunar ve Photoshop ‘Adobe_Photoshop_2023.zip’ olur.
İndirenler artık ücretsiz bir uygulama, oyun veya Windows teması aldıklarını düşünebilirler ancak arşiv aslında SYS01 bilgi çalan kötü amaçlı yazılımını içeriyor.
Bu kötü amaçlı yazılım ilk olarak 2022 yılında Morphisec tarafından keşfedildi ve kötü amaçlı yazılımı yüklemek ve enfekte olmuş bilgisayardan veri çalmak için bir dizi yürütülebilir dosya, DLL, PowerShell betiği ve PHP betiği kullanıyor.
Arşivin ana yürütülebilir dosyası yüklendiğinde, kötü amaçlı yazılımın işletim ortamını kurmaya başlayan kötü amaçlı bir DLL yüklemek için DLL yan yüklemesini kullanır.
Bunlar, kötü amaçlı yazılımın algılanmaktan kaçınmak için sanallaştırılmış bir ortamda çalışmasını önlemek amacıyla PowerShell betiklerinin çalıştırılması, Windows Defender’da klasör dışlamalarının eklenmesi ve kötü amaçlı PHP betiklerini yüklemek üzere bir PHP işletim ortamının yapılandırılması gibi işlemleri içerir.
SYS01 bilgi çalma amaçlı kötü amaçlı yazılımın temel yükü, kalıcılık için zamanlanmış görevler oluşturan ve cihazdan veri çalan PHP betiklerinden oluşuyor.
Çalınan veriler arasında tarayıcı çerezleri, tarayıcıda kayıtlı kimlik bilgileri, tarayıcı geçmişi ve kripto para cüzdanları yer alıyor.
Kötü amaçlı yazılımda ayrıca cihazda bulunan Facebook çerezlerini kullanarak sosyal medya sitesinden hesap bilgilerini çalma görevi de yer alıyor:
- İsim, e-posta ve doğum günü gibi kişisel profil bilgilerini çıkarır.
- Harcamalar ve ödeme yöntemleri dahil olmak üzere ayrıntılı reklam hesabı verilerini getirir.
- İşletmeleri, reklam hesaplarını ve iş kullanıcılarını içeren, ticari ve hassas finansal verilere erişimin derinliğini vurgulayan veriler.
- Kullanıcının yönettiği Facebook sayfalarına ilişkin takipçi sayısı ve rolleri gibi bilgiler.
Çalınan veriler saldırganlara gönderilmeden önce geçici olarak %Temp% klasöründe saklanıyor.
Çalınan çerezler ve parolalar daha sonra diğer tehdit aktörlerine satılabilir veya kurbanın diğer hesaplarına erişmek için kullanılabilirken, Facebook verilerinin gelecekteki kötü amaçlı reklam kampanyaları için daha fazla hesabı ele geçirmek amacıyla kullanılması muhtemel.
Trustwave, bu kötü amaçlı reklamların yalnızca Facebook ile sınırlı olmadığını, LinkedIn ve YouTube’da da benzer profillerin kurulduğunu söylüyor.
Trustwave, “Devam eden SYS01 kötü amaçlı reklam kampanyası daha geniş bir kitleye tehdit oluşturuyor ve kullanıcıların sosyal medyada ne yaptıklarının farkında olmanın önemini gösteriyor” diyerek sözlerini tamamladı.
“2022 yılında ilk kez gözlemlendiğinden bu yana, SYS01 kötü amaçlı yazılımı, yetişkinlere yönelik tıklama tuzakları ve oyunla ilgili reklamlardan uzaklaşarak Windows temaları ve yapay zeka tabanlı yazılım araçları reklamları gibi genel kitleyi hedefleyen bir yaklaşıma geçerek dağıtım yöntemini değiştirdi.”
Trustwave, Şubat ayında Facebook’un Ov3r_Stealer şifre çalma zararlı yazılımını yaygınlaştıran benzer bir kötü amaçlı reklam kampanyasından bahsetmişti.
Daha yakın zamanda Bitdefender, tehdit aktörlerinin milyonlarca kullanıcıya sahip Facebook sayfalarını ele geçirerek popüler AI projelerini taklit ettikleri konusunda uyardı. Bu sayfalar daha sonra Rilide, Vidar, IceRAT ve Nova gibi bilgi çalan kötü amaçlı yazılımları itmek için kullanıldı.