NodeStealer adlı kötü amaçlı yazılımın güncellenmiş bir sürümünü indirmeleri için ele geçirilen Facebook işletme hesapları kullanılıyor. Dikkat çekmek amacıyla uygunsuz fotoğraflar ile sahte reklamlar yayınlayıp insanların buna tıklamasına teşvik ediliyor.

Reklamlara tıklandığında, .NET ile yazılmış ikinci bir yürütülebilir dosyayı da bırakan kötü amaçlı bir .exe 'Fotoğraf Albümü' dosyası içeren bir arşiv indiriyor, bu .exe tarayıcı çerezlerine ve şifrelerine erişiyor. Saldırıların nihai hedefi, çalınan çerezlerden yararlanarak iki faktörlü kimlik doğrulama gibi güvenlik mekanizmalarını atlatmak ve şifreleri değiştirerek kurbanları kendi hesaplarından etkin bir şekilde kilitlemektir.

NodeStealer ilk olarak Mayıs 2023'te Meta tarafından Facebook hesaplarının ele geçirilmesini kolaylaştırmak için tasarlanmış bir JavaScript kötü amaçlı yazılımı ile ifşa olmuştu. O zamandan bu yana, operasyonun arkasındaki tehdit aktörleri saldırılarında Python tabanlı bir varyanttan yararlandı.

Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları;

• İndirilen dosyalar bir anti-malware uygulamasıyla taranmalıdır.

• Son kullanıcılar bu tür saldırılar hakkında bilgilendirilmelidir.

• Uygulama Çift faktörlü kimlik doğrulamasını destekliyorsa aktif edilmelidir.

• Kullanılan şifreler kompleks olmalıdır.