Mayıs 2023’te Meta, Facebook’taki kullanıcıları hedef alan en son kötü amaçlı yazılım tehditleri hakkında bir güvenlik raporu yayınladı. Yapay zeka ve ChatGPT’nin ortaya çıkmasıyla birlikte, Ducktail ve NodeStealer gibi uzun süredir devam eden kötü amaçlı yazılım aileleri, kötü amaçlı yazılım reklamlarını dağıtmak için Facebook reklam sistemine yapılan saldırının merkezinde yer aldı.
Kötü niyetli kişiler doğrulanmış Facebook sayfalarını ele geçirip Facebook, Meta, Google AI, Bard ve daha fazlası gibi güvenilir markalarla yeniden adlandırıyor. Doğrulanmış onay işaretlerine sahip bu yeniden markalanmış sayfalar daha sonra kötü amaçlı yazılım bağlantıları içeren reklamları yayınlamak için kullanılır.
Meta, raporda hızlı düşmanca adaptasyon ile kötü amaçlı yazılım operasyonlarını bozduğunu iddia etti. Group-IB tarafından hazırlanan bir rapora göre, 3.200’den fazla Facebook sayfası ve profili, AI, ChatGPT ve Bard gibi anahtar kelimeler de dahil olmak üzere teknoloji markalarını taklit etmek için tehlikeye atıldı. İki aylık bir azalmanın ardından, kötü amaçlı yazılım grupları Facebook’ta bir kez daha hasara yol açıyor.
Bu kez, kötü amaçlı yazılım reklamları güvenliği ihlal edilmiş, doğrulanmamış Facebook sayfaları aracılığıyla sunuluyor. Google’a aitmiş gibi görünen bir grup reklamla karşılaştık. Reklamlar Google Sites platformunda barındırılan bir indirme sitesine bağlantılar içeriyor. Gerçek 4.26 MB’lık Kötü Amaçlı Yazılım RAR dosyasına DropBox tarafından barındırılan doğrudan bir indirme bağlantısı içeriyor.
Zip, web sitesinde belirtilen parola ile korunuyor olsa da Chrome gibi tarayıcılar kötü amaçlı yazılımı indirme sırasında tespit edebilir ve cihaza saldırmadan önce engelleyebilir. Chrome kötü amaçlı yazılımı otomatik olarak tespit edip engellerken, Windows Defender yükleyici çalışırken bile tespit edemedi.
Bu tür kötü amaçlı yazılımlar tarafından sabote edilmeyi önlemek ve farkındalığı artırmak için Facebook, diğer ayrıntıların yanı sıra herhangi bir isim değişikliğinin geçmişini ve menşe ülkesini göstermek için tüm sayfalara “Sayfa şeffaflığı” ekledi. Yakın zamanda saldırıya uğrayan iki sayfa, 19 Temmuz’da adı AI Marketing olarak değiştirilen “গাছগাছালি” ve 27 Temmuz 2023’te adı AI Marketing olarak değiştirilen “SONAX Bangladesh” sayfalarıdır.
Bu yazının yazıldığı sırada, bu sayfalar hala aktifti ve DropBox’ta barındırılan kötü amaçlı yazılım bağlantıları çalışıyordu. Facebook’ta görünüşte doğrulanmış sayfalar tarafından bile sunulan indirmelere karşı dikkatli olmak mantıklıdır, bir Facebook sayfasının kimliğinden emin değilseniz, sayfanın geçmişi ve geçirdiği herhangi bir yeniden adlandırma hakkında ayrıntılar için sayfanın Hakkında bölümüne gidebilirsiniz. Bu bölüme adres çubuğundaki herhangi bir Facebook şirket sayfası URL’sine /about ekleyerek de erişilebilir.
İlk yorum yapan olun