این بدافزار که در ابتدا حسابهای تجاری فیسبوک را هدف قرار میداد، اکنون با تکنیکهای پیشرفتهتری به حسابهای مدیر تبلیغات فیسبوک و اطلاعات کارتهای اعتباری حمله میکند.
تکامل بدافزار:
NodeStealer با استفاده از API گراف فیسبوک، توکنهای دسترسی را از طریق کوکیهای جمعآوریشده از دستگاه قربانی به دست میآورد. این توکنها به مهاجمان امکان میدهند تا به اطلاعات مالی مانند محدودیتهای روزانه هزینه تبلیغات و بودجه کل کمپینها دسترسی پیدا کنند.
سرقت اطلاعات کارتهای اعتباری:
این بدافزار با کپی کردن پایگاه داده “Web Data” از مرورگرها، اطلاعاتی مانند نام دارنده کارت، تاریخ انقضا و شماره کارت را استخراج میکند. با استفاده از کتابخانه SQLite3 پایتون، NodeStealer به جستجوی دادههای پرداخت ذخیرهشده میپردازد.
تکنیکهای پیشرفته:
- استفاده از Windows Restart Manager: بدافزار از این ابزار برای باز کردن فایلهای پایگاه داده مرورگر که ممکن است توسط فرآیندهای دیگر قفل شده باشند، استفاده میکند.
- پایداری از طریق کلیدهای رجیستری: NodeStealer با استفاده از PowerShell و کلیدهای رجیستری “run”، اسکریپت پایتون مخرب خود را بهطور خودکار در هنگام راهاندازی سیستم اجرا میکند.
- کدهای اضافی و فایلهای دستهای: برخی از نسخههای بدافزار شامل کدهای اضافی برای جلوگیری از شناسایی هستند و از فایلهای دستهای برای تولید و اجرای اسکریپت مخرب استفاده میکنند.
جلوگیری از شناسایی در ویتنام:
جالب است که NodeStealer از آلوده کردن قربانیان در ویتنام خودداری میکند. این بدافزار با بررسی موقعیت جغرافیایی قربانی از طریق ipinfo، در صورت تشخیص کشور “VN”، اجرا را متوقف میکند. این تاکتیک برای کاهش خطرات قانونی و شناسایی توسط مجریان قانون محلی استفاده میشود.
نتیجهگیری:
تکامل NodeStealer نشاندهنده افزایش پیچیدگی و دامنه تهدیدات سایبری است. با توجه به هدفگیری حسابهای مدیر تبلیغات فیسبوک و اطلاعات کارتهای اعتباری، ضروری است که کاربران و سازمانها اقدامات امنیتی مناسبی را برای محافظت از اطلاعات حساس خود انجام دهند.
یک نظر