Facebook İşletme Hesaplarını Ele Geçiren PHP Infostealer Kötü Amaçlı Yazılım
Zscaler'daki güvenlik uzmanları Ducktail adlı bilgi çalan bir kötü amaçlı yazılım keşfettiklerini ve kötü amaçlı yazılımın php'ye dayandığını bildirdi.
Dağıtım kanalı veya ortamı için tehdit aktörleri, bu kötü amaçlı yazılımı dağıtmak için yasal uygulamaların ve oyunların korsan sürümlerini kullanır.
Bu PHP sürümü, önceki sürümler gibi kötü amaçlı yazılımlara dayanmaktadır .NetCore, kurbanların tarayıcılarından kişisel bilgileri çalmak için tasarlanmıştır.
Esas olarak kurbanın aşağıdakiler gibi hassas verileri çaldığı web tarayıcılarını hedefler:
- Kayıtlı tarayıcı kimlik bilgileri
- Facebook hesap bilgileri
Saldırı Zinciri
2021'in sonlarında tehdit ortamında tespit edilen Ducktailnun arkasında bilinmeyen bir Vietnamlı tehdit aktörünün olduğuna inanılıyor. WithSecure, Temmuz 2022'nin sonlarında meydana gelen önceki Ducktail gruplarını fark etti.
Kötü amaçlı yazılımın temel amacı, aşağıdaki hesapları hedeflemek ve hacklemektir:
- Facebook işletme hesapları
- Facebook reklam hesapları
Kötü amaçlı yazılım ilk keşfedildiğinde, saldırganlara bilgi göndermek için Telegram'ı bir kanal olarak kullandı, ancak sonraki sürümler farklı bir ortama taşındı. Kısacası tehdit aktörleri, bağlantı kurmak için verileri JSON biçiminde depolayan veya barındıran yeni bir web sitesi kullanır.
Aşağıdaki programların korsan veya kırık sürümlerini kullanarak, kötü amaçlı yazılım tehdit aktörleri tarafından popüler dosya paylaşım web sitelerinde barındırılan ZIP arşivlerine enjekte edilir:
- Microsoft Office
- Oyunlar
- P**n*grafiği
Kötü Amaçlı Yazılım İşlevleri
Aşağıda kötü amaçlı yazılımın tüm işlevlerinden bahsettik:
- Sistemde yüklü olan tarayıcı bilgilerini alır.
- Tarayıcı çerezlerinin saklanan bilgilerini sistemden çeker.
- Facebook İşletme hesaplarını hedefler.
- Cüzdanda kripto hesap bilgilerini arar.tarih dosyası.
- Verileri toplar ve komut ve kontrol (C & C) sunucusuna gönderir.
Kurban program yükleyiciyi çalıştırdığında, kötü amaçlı bir PHP betiği etkinleştirilir. Artık kurbanın web tarayıcısından tehdit aktörleri, bu kötü amaçlı PHP betiğinin yardımıyla aşağıdaki hassas verileri çalarak rastgele kod çalıştırıyor:
- Kripto para cüzdanları
- Facebook İşletme hesapları
Aşağıda, kötü amaçlı yazılımın Facebook İşletme sayfalarından çalmaya çalıştığı ayrıntılardan bahsettik:
- Ödeme başlatıldı
- Ödeme gerekli
- Doğrulama Durumu
- Reklam hesaplarının sahibi
- Harcanan miktar
- Para birimi ayrıntıları
- Hesap durumu
- Reklam Ödeme döngüsü
- Finansman kaynağı
- Ödeme şekli [kredi kartı, banka kartı vb.]
- PayPal Ödeme yöntemi [e-posta adresi]
- Sahip olunan sayfalar
Dahası, bu, bu kötü amaçlı yazılımın faillerinin saldırılarının kapsamını genişlettiğinin bir başka göstergesidir. Kampanyanın bu güncellenmiş sürümü, yukarıdaki hedeflerin yanı sıra normal Facebook kullanıcılarını da hedefliyor.
DuckTail geliştiricileri tarafından kötü amaçlı yazılımlarını iyileştirmek ve daha sofistike ve gizli hale getirmek için sürekli değişiklikler ve diğer iyileştirmeler yapılmaktadır. Bu yaklaşımı benimsemek, mağdurları enfekte etmede ve onlardan her zamankinden daha fazla bilgi çalmada daha etkili olmalarını sağlayacaktır.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News
