Siber güvenlik uzmanları, Facebook Ads Manager hesaplarından daha fazla bilgi çalmak ve web tarayıcılarda saklanan kredi kartı verilerini ele geçirmek için güncellenmiş bir NodeStealer sürümüne karşı uyarıyor. Bu Python tabanlı zararlı yazılım, saldırganlara Facebook reklam kampanyalarını kötüye kullanma fırsatı sunuyor.

NodeStealer’ın Tehditleri

1. Facebook Reklam Hesaplarının Ele Geçirilmesi:
2. NodeStealer, Facebook Ads Manager üzerindeki bütçe bilgilerini ve iş verilerini toplayarak bu hesapları zararlı reklam (malvertising) kampanyaları için kullanıyor.
3. Gelişmiş Teknikler:

• Windows Restart Manager kullanılarak tarayıcı veritabanı dosyalarını kilitten çıkarıyor.
• Kodun tespitini zorlaştırmak için gereksiz kod ekleniyor.
• Python komut dosyalarını dinamik olarak oluşturup çalıştırmak için toplu işlem (batch) komut dosyası kullanıyor.

1. Telegram Üzerinden Veri Kaçırma:
2. Telegram, saldırganlar tarafından çalınan verilerin aktarımı için kullanılmaya devam ediyor.
3. Sahte Reklamlar Yoluyla Yayılma:
4. Zararlı yazılım, güvenilir markaları taklit eden Facebook reklamlarıyla yayılıyor. Örneğin, Bitwarden şifre yöneticisi kılığına giren bir kampanya, zararlı bir Google Chrome uzantısını yüklemeye çalıştı.

NodeStealer’ın Kökeni ve Gelişimi

NodeStealer, Mayıs 2023'te Meta tarafından ilk kez tanımlandı. Başlangıçta JavaScript tabanlı bir zararlı yazılımken, daha sonra Python tabanlı bir bilgi çalma aracına dönüştü. Uzmanlar, bu zararlı yazılımın, Facebook reklam ve işletme hesaplarını ele geçirmek için çeşitli zararlı yazılım ailelerini kullanan Vietnamlı tehdit aktörleri tarafından geliştirildiğini düşünüyor.

NodeStealer’ın Ana İşlevleri

1. Facebook İşletme Hesaplarını Ele Geçirme:
2. NodeStealer, Facebook Graph API kullanarak çalınan çerezlerle erişim jetonları oluşturuyor ve bu jetonlar aracılığıyla hassas verilere ulaşıyor.
3. Yasal Yaptırımlardan Kaçınma:
4. Zararlı yazılım, Vietnam’da bulunan sistemleri enfekte etmemek üzere tasarlanmış, bu da saldırganların kaynağına işaret ediyor.
5. Kredi Kartı Verilerinin Çalınması:
6. Tarayıcı veritabanlarını açarak kredi kartı bilgilerini ve diğer hassas verileri ele geçirmeye çalışıyor.

Yeni Kampanyalar ve Zararlı Teknikler

1. Sahte Reklamlar ve Kimlik Hırsızlığı:
2. Son kampanyalar, güvenilir markaların kimliğine bürünerek sahte reklamlarla zararlı yazılım yaymayı hedefliyor.
3. ClickFix Tekniği ile Kimlik Avı:
4. Bu teknik, sahte CAPTCHA sayfalarını kullanarak kullanıcıları PowerShell komutlarını çalıştırmaya yönlendiriyor ve güvenlik kontrollerini atlayarak sistemlerin enfekte edilmesini sağlıyor.

Geniş Etkiler ve Kimlik Avı Tehditleri

1. Finansal ve İşletme Riskleri:
2. Çalınan reklam bütçeleri veya işletme hesapları nedeniyle bireyler ve şirketler büyük maddi kayıplar yaşayabilir.
3. RAT Zararlı Yazılımının Yayılması:
4. Sahte e-postalar ve doküman talepleri aracılığıyla I2Parcae RAT veya Venom RAT gibi zararlı yazılımlar dağıtılarak hassas bilgiler çalınıyor ve uzaktan erişim sağlanıyor.
5. Sosyal Mühendislik Saldırıları:
6. ClickFix gibi teknikler ve sahte mesajlar, kullanıcıların güvenini ve platformların zayıf noktalarını kullanarak zararlı yazılımları yaymaya devam ediyor.

Koruma Önerileri

1. Gerçek Zamanlı Davranış Analizi:
2. Uygulama davranışlarını izleyen araçlar, şüpheli etkinlikleri tespit ederek saldırıları engelleyebilir.
3. Kimlik Avı Teknikleri Hakkında Farkındalık:
4. Kullanıcılar, sahte CAPTCHA talepleri gibi tekniklere karşı bilinçlendirilmelidir.
5. Hesap Güvenliğinin Güçlendirilmesi:

• Facebook hesaplarında iki faktörlü kimlik doğrulama (2FA) etkinleştirilmelidir.
• İzinler düzenli olarak gözden geçirilmeli ve güncellenmelidir.

1. Gelişmiş Güvenlik Çözümleri Kullanımı:
2. Dinamik saldırılarla etkin bir şekilde mücadele etmek için modern tehdit algılama araçları uygulanmalıdır.

Sonuç

NodeStealer’ın gelişimi ve kampanyalarının artan karmaşıklığı, proaktif güvenlik stratejilerinin önemini bir kez daha gözler önüne seriyor. Şirketler, saldırıları tespit etmek ve zararları önlemek için gelişmiş teknolojilerden faydalanmalıdır.