Siber Muhbir

Bitdefender, bu hafta yayınlanan bir raporda, "Reklamlara tıklamak, .NET ile yazılmış ikinci bir yürütülebilir dosyayı da bırakan kötü amaçlı bir .exe 'Fotoğraf Albümü' dosyası içeren bir arşivi hemen indirir – bu yük, tarayıcı çerezlerini ve şifrelerini çalmaktan sorumludur" dedi.

NodeStealer, Meta tarafından ilk olarak Mayıs 2023'te Facebook hesaplarının ele geçirilmesini kolaylaştırmak için tasarlanmış bir JavaScript kötü amaçlı yazılımı olarak ifşa edildi. O zamandan beri, operasyonun arkasındaki tehdit aktörleri, saldırılarında Python tabanlı bir varyanttan yararlandı.

Kötü amaçlı yazılım, birden fazla tehdit aktörünün, yayılma için öncelikle Facebook'ta vektör olarak reklam içeren örtüşen yöntemlerden yararlandığı, Vietnam'da gelişen bir siber suç ekosisteminin bir parçasıdır.

Rumen siber güvenlik firması tarafından keşfedilen en son kampanya, kötü amaçlı reklamların kullanıcıların Facebook hesaplarını tehlikeye atmak için bir kanal olarak kullanılması bakımından farklı değil.

Bitdefender, "Meta'nın Reklam Yöneticisi aracı, Facebook'ta Avrupa, Afrika ve Karayipler'den 18 ila 65 yaş arası erkek kullanıcıları hedeflemek için bu kampanyalarda aktif olarak kullanılıyor" dedi. "En çok etkilenen demografi 45+ erkektir."

Kötü amaçlı yazılımı, fotoğraf albümleri olarak gizlenmiş Windows yürütülebilir dosyaları aracılığıyla dağıtmanın yanı sıra, saldırılar hedeflemelerini normal Facebook kullanıcılarını da kapsayacak şekilde genişletti. Yürütülebilir dosyalar yasal olarak barındırılır.

Saldırıların nihai amacı, iki faktörlü kimlik doğrulama gibi güvenlik mekanizmalarını atlamak ve şifreleri değiştirmek için çalınan çerezlerden yararlanmak ve kurbanları kendi hesaplarından etkin bir şekilde kilitlemektir.

Araştırmacılar, "İster para çalmak ister ele geçirilmiş hesaplar aracılığıyla yeni kurbanları dolandırmak olsun, bu tür kötü niyetli saldırılar, siber dolandırıcıların Meta'nın güvenlik savunmasını gizlice geçerek radarın altında kalmasına olanak tanır" dedi.

Bu Ağustos ayının başlarında, HUMAN, kayıtlı adresleri belirlemek ve hesaplarda oturum açmak için çalıntı e-posta adreslerini kullanarak bahis platformlarını hedef alan Capra adlı başka bir tür hesap ele geçirme saldırısını açıkladı.

Gelişme, Cisco Talos'un, kurbanların kimlik bilgilerini ele geçirmeyi ve avatarları için yükseltmeler satın almak veya deneyimlerde özel yetenekler satın almak için kullanılabilecek bir uygulama içi para birimi olan Robux'u çalmayı amaçlayan kimlik avı bağlantılarıyla Roblox oyun platformunun kullanıcılarını hedef alan birkaç dolandırıcılığı ayrıntılı olarak anlatmasıyla geldi.

Güvenlik araştırmacısı Tiago Pereira, "'Roblox' kullanıcıları, diğer oyunculardan değerli eşyalar veya Robux çalmaya çalışan dolandırıcılar ('Roblox' oyuncuları tarafından 'ışınlayıcılar' olarak bilinir) tarafından hedef alınabilir" dedi.

"Roblox'un" genç kullanıcı tabanı nedeniyle bu bazen dolandırıcılar için daha kolay hale getirilebilir. Oyunun 65 milyon kullanıcısının neredeyse yarısı 13 yaşın altında ve dolandırıcılıkları tespit etmede o kadar usta olmayabilir."

Ayrıca, CloudSEK'in, alıcılar ve satıcılar hakkında bilgi toplamak ve verileri yeraltı forumlarında satmak amacıyla bölgedeki gayrimenkullerle ilgili yaklaşık 3.500 sahte alan adı ağı aracılığıyla Orta Doğu'da meydana gelen iki yıllık bir veri toplama kampanyasını keşfetmesini de takip ediyor.