Facebook, Meta üzerinde dağıtılan ve tehdit aktörlerinin tarayıcı çerezlerini çalarak platformdaki hesapların yanı sıra Gmail ve Outlook hesaplarını ele geçirmesine olanak tanıyan ‘NodeStealer’ adlı yeni bir bilgi çalan kötü amaçlı yazılım keşfetti.
Geçerli kullanıcı oturum belirteçlerini içeren çerezleri ele geçirmek, siber suçlular arasında popülerliği giderek artan bir taktiktir, çünkü kimlik bilgilerini çalmak veya hedefle etkileşime girmek zorunda kalmadan hesapları ele geçirmelerine ve aynı zamanda iki faktörlü kimlik doğrulama korumalarını atlamalarına olanak tanır.
Facebook’un güvenlik ekibinin yeni bir blog yazısında açıkladığı gibi, NodeStealer’ı dağıtım kampanyasının başlarında, ilk dağıtımından sadece iki hafta sonra tespit etti. Şirket o zamandan beri operasyonu kesintiye uğrattı ve etkilenen kullanıcıların hesaplarını kurtarmalarına yardımcı oldu.
NodeStealer hesaplarınızı çalıyor
Facebook mühendisleri NodeStealer kötü amaçlı yazılımını ilk olarak Ocak 2023’ün sonlarında tespit etmiş ve saldırıları Vietnamlı tehdit aktörlerine atfetmiştir.
Kötü amaçlı yazılım JavaScript ile yazıldığı ve Node.js aracılığıyla çalıştırıldığı için NodeStealer olarak adlandırılmaktadır.
Node.js kötü amaçlı yazılımın Windows, macOS ve Linux üzerinde çalışabilmesini sağlar ve aynı zamanda VirusTotal’daki neredeyse tüm AV motorlarının o sırada kötü amaçlı olarak işaretleyemediği gizliliğinin kaynağıdır.
NodeStealer, alıcıda merak uyandırmak için uygun bir şekilde adlandırılmış bir PDF veya Excel belgesi olarak görünecek şekilde gizlenmiş 46-51MB Windows yürütülebilir dosyası olarak dağıtılır.
Başlatıldığında, Node.js’nin otomatik başlatma modülünü kullanır ve yeniden başlatmalar arasında kurbanın makinesinde kalıcılık sağlamak için yeni bir kayıt defteri anahtarı ekler.
Kötü amaçlı yazılımın birincil hedefi, Google Chrome, Microsoft Edge, Brave, Opera gibi Chromium tabanlı web tarayıcılarında depolanan Facebook, Gmail ve Outlook için çerezleri ve hesap kimlik bilgilerini çalmaktır.
Bu veriler normalde tarayıcıların SQLite veritabanında şifrelenir; ancak bu şifrelemeyi tersine çevirmek, Chromium “Local State” dosyasından base64 kodlu şifre çözme anahtarını alan tüm modern bilgi hırsızları tarafından uygulanan önemsiz bir işlemdir.
NodeStealer Facebook hesaplarıyla ilgili çerezler veya kimlik bilgileri bulursa, ihlal edilen hesap hakkında bilgi almak için Facebook API’sini kötüye kullandığı bir sonraki aşama olan “hesap keşfi” aşamasına geçer.
NodeStealer, Facebook’un kötüye kullanım önleme sistemleri tarafından tespit edilmekten kaçınmak için bu istekleri kurbanın IP adresinin arkasına gizler ve gerçek bir kullanıcı gibi görünmek için çerez değerlerini ve sistem yapılandırmasını kullanır.
Kötü amaçlı yazılımın peşinde olduğu temel bilgi, Facebook hesabının reklam kampanyaları yürütme kabiliyetidir; bu da tehdit aktörlerinin yanlış bilgi yaymak veya şüphelenmeyen kitleleri diğer kötü amaçlı yazılım dağıtım sitelerine yönlendirmek için kullandığı bir araçtır.
Bu, Ducktail gibi Facebook’un en son kötü amaçlı yazılım tehdit raporunda da yer alan benzer kötü amaçlı yazılım türlerinin izlediği taktiğin aynısıdır.
Tüm bu bilgileri çalan NodeStealer, çaldığı verileri saldırganın sunucusuna aktarıyor.
Keşif üzerine Facebook, tehdit aktörünün sunucusunu alan adı kayıt kuruluşuna bildirdi ve sunucu 25 Ocak 2023 tarihinde kaldırıldı.
Bugünkü raporda Facebook, devam eden DuckTail kötü amaçlı yazılım operasyonları ve ChatGPT programları olarak dağıtılan kötü amaçlı yazılım ve kötü amaçlı uzantılar hakkında da bilgi paylaştı.
NodeStealer, DuckTail ve ChatGPT’yi taklit eden kötü amaçlı yazılımlarla ilgili IOC’lerle ilgilenenler için Facebook, verilerini Facebook’un halka açık GitHub deposunda paylaştı.
Kaynak: bleepingcomputer
