Facebook, Meta'da 'DODESTEALER' adlı yeni bir bilgi çalma kötü amaçlı yazılım keşfetti ve tehdit aktörlerinin platformdaki hesapları ve Gmail ve Outlook hesaplarını tartışmak için tarayıcı çerezlerini çalmasına izin verdi.
Geçerli kullanıcı oturumu belirteçleri içeren çerezleri yakalamak, iki faktörlü kimlik doğrulama korumalarını atlarken, kimlik bilgilerini çalmak veya hedefle etkileşim kurmak zorunda kalmadan hesapları kaçırmalarına izin verdiği için siber suçlular arasında popülerlik kazanan bir taktiktir.
Facebook'un güvenlik ekibinin yeni bir blog gönderisinde açıkladığı gibi, Dağıtım kampanyasının başlarında, ilk konuşlandırılmasından sadece iki hafta sonra teknealer'ı tanımladı. Şirket o zamandan beri operasyonu bozdu ve etkilenen kullanıcıların hesaplarını kurtarmasına yardımcı oldu.
Facebook'un mühendisleri ilk olarak Ocak 2023'ün sonlarında teknealer kötü amaçlı yazılımları gördü ve saldırıları Vietnam tehdit aktörlerine bağladı.
Kötü amaçlı yazılımlara JavaScript'te yazıldığı ve Node.js.
Node.js, kötü amaçlı yazılımları Windows, MacOS ve Linux'ta çalıştırabilmesini sağlar ve aynı zamanda gizliliğinin kaynağıdır, Virustotal'daki neredeyse tüm AV motorları o zamanlar kötü niyetli olarak işaretleyemez.
DoNestealer, alıcıya merak vermek için uygun şekilde adlandırılmış bir PDF veya Excel belgesi olarak görünecek şekilde gizlenmiş 46-51MB Windows yürütülebilir olarak dağıtılır.
Başlatıldıktan sonra, Node.js 'otomatik labirent modülünü kullanır ve kurbanın yeniden başlatmaları arasındaki makinede kalıcılık oluşturmak için yeni bir kayıt defteri anahtarı ekler.
Kötü amaçlı yazılımın birincil amacı, Google Chrome, Microsoft Edge, Brave, Opera vb.
Bu veriler normalde tarayıcıların sqlite veritabanında şifrelenir; Bununla birlikte, bu şifrelemeyi tersine çevirmek, Base64 kodlu şifreleme anahtarını krom "yerel durum" dosyasından alan tüm modern bilgi çalanlar tarafından uygulanan önemsiz bir işlemdir.
DoNestealer, Facebook hesaplarıyla ilgili çerez veya kimlik bilgileri bulursa, Facebook API'sını ihlal edilen hesap hakkında bilgi çıkarması için kötüye kullandığı bir sonraki aşamaya "Hesap Keşif" girer.
Facebook'un istismar karşıtı sistemleri tarafından algılamadan kaçınmak için, Nodealer bu istekleri kurbanın IP adresinin arkasında gizler ve çerez değerlerini ve sistem yapılandırmalarını gerçek bir kullanıcı gibi görünmek için kullanır.
Kötü amaçlı yazılımların peşinden gittiği temel bilgiler, Facebook hesabının aktörlerin yanlış bilgilendirmeyi zorlamaktan veya şüpheli olmayan kitleleri diğer kötü amaçlı yazılım dağıtım sitelerine yönlendirmeleri için kaldırdıkları reklam kampanyaları yürütme yeteneğidir.
Bu aynı taktik ve ardından Facebook'un Ducktail gibi en son kötü amaçlı yazılım tehdit raporunda da yer alan benzer kötü amaçlı yazılım suşları.
Tüm bu bilgileri çalan Nodealer, çalınan verileri saldırganın sunucusuna söndürür.
Discovery üzerine Facebook, tehdit oyuncunun sunucusunu etki alanı kayıt şirketine bildirdi ve 25 Ocak 2023'te kaldırıldı.
Bugünkü raporda Facebook, devam eden ördek kuyruğu kötü amaçlı yazılım işlemleri ve kötü amaçlı yazılım ve ChatGPT programları olarak dağıtılan kötü amaçlı uzantılar hakkında bilgi paylaştı.
DODESTEALER, Ducktail ve CHATGPT'yi taklit eden kötü amaçlı yazılımlarla ilgili IOC'lerle ilgilenenler için Facebook, Facebook'un genel GitHub deposundaki verilerini paylaştı.
Yeni Atomik MacOS Info-Dirençli Kötü Yazılım Hedefleri 50 Kripto Cüzdan
Avrupa ve ABD'de Evilextractor kötü amaçlı yazılım etkinlikleri artışları
Typhon Info-Destekar Kötü Yazılım Devs Yükseltme Kaçınma Yetenekleri
Blackguard Stealer şimdi 57 kripto cüzdanı, uzantıları hedefliyor
Adobe Acrobat Sign, Redline Info-Renting kötü amaçlı yazılımları itmek için istismar edildi
Kaynak: Bleeping Computer