Başlangıçta JavaScript tabanlı bir kötü amaçlı yazılım olan NodeStealer, Facebook Reklam Yöneticisi hesaplarını hedef alan, kredi kartı ayrıntıları ve tarayıcı bilgilerinin yanı sıra hassas finansal ve ticari verileri çalan daha karmaşık Python tabanlı bir tehdide dönüştü.
Kötü amaçlı yazılım, kötü amaçlı bağlantılara sahip hedef odaklı kimlik avı e-postaları aracılığıyla dağıtılıyor, gizli yürütme için DLL yan yüklemesini ve kodlanmış PowerShell’i kullanıyor ve Telegram aracılığıyla verileri sızdırıyor.
Saldırı, telif hakkı ihlali bildirimi olarak gizlenen, ele geçirilmiş bir Gmail hesabından gönderilen ve alıcıları görünüşte zararsız bir PDF belgesi içinde gizlenmiş kötü amaçlı bir bağlantıya tıklamaya teşvik eden hedef odaklı kimlik avı e-postasıyla başladı.
Tıklandığında, virüs bulaşmış PDF, hedef cihazlardaki güvenlik açıklarından yararlanarak gizli kötü amaçlı yazılımların yüklenmesini mümkün kılıyordu. Bu sinsi kötü amaçlı yazılım, yüklendikten sonra, hassas bilgileri ele geçirilen sistemlerden gizlice sızdırdı.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Kötü amaçlı bir e-posta bağlantısına tıklamak, “Nombor Rekod 052881.zip” sıkıştırılmış arşivinin indirilmesini tetikler. Arşivin çıkarılması birkaç şüpheli dosyanın enjekte edilmesine neden oluyor: “GHelper.dll” ve “oledlg.dll” muhtemelen kötü amaçlı yazılım tarafından kullanılan Dinamik Bağlantı Kitaplıklarıdır (DLL’ler).
“Nombor Rekod 052881.exe” ana yürütülebilir dosyadır; “hpreaderfprefs.dat” ise ayarların saklanmasına yönelik bir veri dosyası olabilir.
“images” klasörü, muhtemelen lisanslama veya diğer kötü amaçlı eylemler için kullanılan bir “.bat” toplu komut dosyasını (“active-license.bat”) ve şüpheli bir yürütülebilir dosyayı (“license-key.exe”) ve başka bir arşivi içerir: ” License.rar” ek kötü amaçlı yazılım bileşenleri içerebilir.
Nombor Rekod 052881.exe PDF okuyucusu, meşru bir sistem dosyası gibi görünen ve PDF okuyucu görünümü altında bir toplu komut dosyası (images\active-license.bat) çalıştıran kötü amaçlı oledlg.dll dosyasını dışarıdan yüklemek için kullanıldı.
Bu toplu komut dosyası da bir PowerShell komutunu tetikleyerek kötü amaçlı yazılımın tespit edilmeden çalışmasını ve kötü amaçlı etkinliklerini gerçekleştirmesini sağladı.
Kötü amaçlı bir PowerShell betiği penceresini gizler, bir klasör oluşturur ve sahte bir PDF indirip çalıştırırken aynı zamanda Başlangıç klasörüne bir kalıcılık mekanizması bırakan taşınabilir bir Python yorumlayıcısı içeren parola korumalı bir RAR dosyasını arşivden çıkarır.
Ayrıca, Python’un “istekler” kütüphanesini kullanarak son zararlı veriyi doğrudan uzak bir sunucudan indirir ve onu gizli bir komut isteminde çalıştırır.
Kötü amaçlı yazılım başlangıçta uzak bir sunucudan bir Python betiği indirip bunu bellekte çalıştırdığından, bilgi hırsızlığı yükü sağlamak için gizleme tekniklerinden yararlanır; bu komut dosyası, kredi kartı da dahil olmak üzere hassas bilgileri çalmak üzere tasarlanmış ikinci aşama bir yükün şifresini çözer ve çalıştırır. veriler ve web tarayıcısı kimlik bilgileri.
Kötü amaçlı yazılım aynı zamanda finansal ve işle ilgili verileri çıkarmak için Facebook Reklam Yöneticisi hesaplarını da hedef alıyor ve bu veriler daha sonra özel bir bot API’si kullanılarak belirli Telegram kanallarına sızıyor.
Trend Micro’ya göre gelişmiş bir kötü amaçlı yazılım türü olan NodeStealer, Facebook Reklam Yöneticisi hesaplarını, kredi kartı bilgilerini ve tarayıcı verilerini hedef alıyor ve tespit edilmekten kaçınmak için karmaşık teknikler kullanıyor.
Bu tehdide karşı koymak için bireyler ve kuruluşlar şüpheli e-postalara karşı dikkatli olmalı, kullanıcıları kimlik avı taktikleri konusunda eğitmeli ve sistemleri kötü amaçlı yazılımlara karşı düzenli olarak taramalıdır.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin