Wawindaji wa vitisho wanaonya kuhusu toleo lililosasishwa la NodeStealer inayotokana na Python ambayo sasa ina vifaa vya kupata maelezo zaidi kutoka kwa waathiriwa wa akaunti za Kidhibiti cha Matangazo ya Facebook na kuvuna data ya kadi ya mkopo iliyohifadhiwa katika vivinjari vya wavuti. “Wanakusanya maelezo ya bajeti ya akaunti za Facebook Ads Manager za waathiriwa wao, ambayo inaweza kuwa lango la upotovu wa Facebook,” mtafiti wa Netskope Threat Labs Jan Michael Alcantara alisema katika ripoti iliyoshirikiwa na The Hacker News. “Mbinu mpya zinazotumiwa na NodeStealer ni pamoja na kutumia Kidhibiti Anzisha Upya cha Windows kufungua faili za hifadhidata ya kivinjari, kuongeza nambari taka, na kutumia hati ya kundi kutoa na kutekeleza hati ya Python.” NodeStealer, iliyorekodiwa kwa mara ya kwanza na Meta mnamo Mei 2023, ilianza kama programu hasidi ya JavaScript kabla ya kubadilika na kuwa mwizi wa Python anayeweza kukusanya data inayohusiana na akaunti za Facebook ili kuwezesha uchukuaji wao. Inatathminiwa kutayarishwa na watendaji tishio wa Vietnam, ambao wana historia ya kutumia familia nyingi zisizo za kompyuta ambazo zinalenga kuteka nyara akaunti za matangazo ya Facebook na biashara ili kuchochea shughuli zingine hasidi. Uchanganuzi wa hivi punde kutoka kwa Netskopke unaonyesha kuwa vizalia vya programu vya NodeStealer vimeanza kulenga akaunti za Kidhibiti cha Matangazo cha Facebook ambazo hutumiwa kudhibiti kampeni za matangazo kote kwenye Facebook na Instagram, pamoja na akaunti maarufu za Facebook Business. Kwa kufanya hivyo, inashukiwa kuwa nia ya washambuliaji si tu kuchukua udhibiti wa akaunti za Facebook, lakini pia kuwapa silaha ili zitumike katika kampeni za upotoshaji ambazo hueneza zaidi programu hasidi chini ya kivuli cha programu au michezo maarufu. “Hivi majuzi tulipata sampuli kadhaa za Python NodeStealer ambazo hukusanya maelezo ya bajeti ya akaunti kwa kutumia Facebook Graph API,” Michael Alcantara alieleza. “Sampuli huzalisha ishara ya ufikiaji kwa kuingia kwenye adsmanager.facebook[.]com kwa kutumia vidakuzi vilivyokusanywa kwenye mashine ya mwathiriwa.” Kando na kukusanya tokeni na taarifa zinazohusiana na biashara zinazohusiana na akaunti hizo, programu hasidi inajumuisha hundi ambayo imeundwa kwa uwazi ili kuzuia kuambukiza mashine zilizo nchini Vietnam kama njia ya kukwepa utekelezaji wa sheria, zaidi. Kuimarisha asili yake, zaidi ya hayo, sampuli fulani za NodeStealer zimepatikana kutumia Kidhibiti Upya cha Windows ili kufungua faili za hifadhidata za SQLite. ambayo inawezekana inatumiwa na michakato mingineyo. Hii inafanywa ili kujaribu kupata data ya kadi ya mkopo kutoka kwa vivinjari mbalimbali vya wavuti. kwa sera yake Kupotosha kupitia Facebook ni njia ya uambukizaji yenye faida kubwa, mara nyingi huiga chapa zinazoaminika ili kusambaza kila aina ya programu hasidi kampeni mpya itakayoanza tarehe 3 Novemba 2024, ambayo imeiga programu ya usimamizi wa nenosiri ya Bitwarden kupitia matangazo yanayofadhiliwa na Facebook ili kusakinisha kiendelezi potovu cha Google Chrome. “Programu hasidi hukusanya data ya kibinafsi na kulenga akaunti za biashara za Facebook, na hivyo kusababisha hasara ya kifedha kwa watu binafsi na biashara,” Bitdefender ilisema katika ripoti iliyochapishwa Jumatatu. “Kwa mara nyingine tena, kampeni hii inaangazia jinsi watendaji vitisho wanavyotumia mifumo inayoaminika kama vile Facebook kuwarubuni watumiaji kuhatarisha usalama wao wenyewe.” Barua pepe za Ulaghai Sambaza I2Parcae RAT kupitia Mbinu ya ClickFix. Maendeleo haya yanakuja kwa vile Cofense imetahadharisha kuhusu kampeni mpya za hadaa zinazotumia fomu za mawasiliano za tovuti na viambatisho vya ankara ili kuwasilisha familia zisizo kama I2Parcae RAT na PythonRatLoader, mtawalia, na za mwisho zikifanya kazi kama njia ya kusambaza. AsyncRAT, DCRat, na Venom RAT. I2Parcae ni “mashuhuri kwa kuwa na mbinu, mbinu, na taratibu kadhaa za kipekee (TTPs), kama vile ukwepaji wa Njia ya Barua Pepe Salama (SEG) kwa kutumia barua pepe za uwakilishi kupitia miundombinu halali, CAPTCHA bandia, kutumia vibaya utendakazi wa Windows wenye msimbo ngumu kuficha faili zilizoanguka, na uwezo wa C2 kupita kiasi. Invisible Internet Project (I2P), mtandao wa rika-kwa-rika usiojulikana wenye usimbaji fiche kutoka mwisho hadi mwisho,” Mtafiti wa masuala ya uhalifu Kahng An alisema. “Inapoambukizwa, I2Parcae ina uwezo wa kuzima Windows Defender, kuorodhesha Kidhibiti cha Akaunti ya Usalama ya Windows (SAM) kwa akaunti/vikundi, kuiba vidakuzi vya kivinjari, na ufikiaji wa mbali kwa wapangishaji walioambukizwa.” Misururu ya mashambulizi inahusisha uenezaji wa viungo vya ponografia vilivyonaswa kwenye jumbe za barua pepe ambazo, unapobofya, huwapeleka wapokeaji ujumbe kwenye ukurasa wa kati wa uthibitishaji wa CAPTCHA feki, ambao huwataka waathiriwa kunakili na kutekeleza hati iliyosimbwa ya PowerShell ili kufikia maudhui, mbinu. ambayo imeitwa ClickFix. ClickFix, katika miezi ya hivi majuzi, imekuwa mbinu maarufu ya uhandisi wa kijamii ili kuvutia watumiaji wasiotarajia kupakua programu hasidi kwa kisingizio cha kushughulikia hitilafu inayodaiwa au kukamilisha uthibitishaji wa reCAPTCHA. Pia ni bora katika kuzuia udhibiti wa usalama kutokana na ukweli kwamba watumiaji huambukiza wenyewe kwa kutekeleza nambari. Kampuni ya usalama ya Enterprise Proofpoint ilisema kuwa mbinu ya ClickFix inatumiwa na watendaji vitisho wengi “wasiohusishwa” kutoa safu ya trojans za ufikiaji wa mbali, wezi na hata mifumo ya unyonyaji baada ya unyonyaji kama vile Brute Ratel C4. Imekubaliwa hata na watendaji wanaoshukiwa kuwa kijasusi wa Urusi kukiuka vyombo vya serikali ya Ukraine. “Watendaji wa vitisho wamezingatiwa hivi majuzi kwa kutumia mbinu ghushi yenye mada ya CAPTCHA ya ClickFix ambayo inajifanya kuhalalisha mtumiaji kwa ukaguzi wa ‘Thibitisha Wewe ni Binadamu’ (CAPTCHA),” watafiti wa usalama Tommy Madjar na Selena Larson walisema. “Shughuli nyingi zinatokana na zana huria ya zana inayoitwa reCAPTCHA Phish inayopatikana kwenye GitHub kwa ‘madhumuni ya kielimu.'” “Kinachoshangaza kuhusu mbinu hii ni kwamba wapinzani wanatumia tamaa ya ndani ya watu ya kusaidia na kujitegemea. Kwa kutoa kile kinachoonekana.” kuwa tatizo na suluhu, watu wanahisi kuwezeshwa ‘kurekebisha’ suala wenyewe bila kuhitaji kutahadharisha timu yao ya TEHAMA au mtu mwingine yeyote, na hupita ulinzi wa usalama kwa kumfanya mtu ajiambukize mwenyewe.” Ufumbuzi huo pia unaambatana na kuongezeka kwa mashambulizi ya hadaa ambayo hutumia maombi ya uwongo ya Docusign ili kuepuka ugunduzi na hatimaye kufanya ulaghai wa kifedha. “Mashambulizi haya yanaleta tishio mbili kwa wakandarasi na wachuuzi – hasara ya haraka ya kifedha na uwezekano wa usumbufu wa biashara,” SlashNext ilisema. “Wakati hati ya ulaghai inatiwa saini, inaweza kusababisha malipo ambayo hayajaidhinishwa huku wakati huo huo ikileta mkanganyiko kuhusu hali halisi ya leseni. Kutokuwa na uhakika huku kunaweza kusababisha kucheleweshwa kwa zabuni kwa miradi mipya au kudumisha mikataba ya sasa.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply