Bankacılık Truva Atları, Google Cloud Run Aracılığıyla Latin Amerika ve Avrupa'yı Hedef Alıyor
Siber güvenlik araştırmacıları, Astaroth (diğer adıyla Guildma), Mekotio ve Ousaban (diğer adıyla Javali) gibi çeşitli bankacılık truva atlarını teslim etmek için Google Cloud Run hizmetini silah haline getiren e-posta kimlik avı kampanyalarında ani bir artış olduğu konusunda uyarıyor.
Cisco Talos araştırmacıları geçen hafta yaptığı açıklamada, "Bu kötü amaçlı yazılım aileleriyle ilişkili enfeksiyon zincirleri, son kötü amaçlı yazılım yükleri için damlalık veya indirici işlevi gören kötü amaçlı Microsoft Yükleyicilerinin (MSI'ler) kullanımını içeriyor" dedi.
Eylül 2023'ten bu yana gözlemlenen yüksek hacimli kötü amaçlı yazılım dağıtım kampanyaları, yayılma için Google Cloud'da aynı depolama paketini kullandı ve bu da dağıtım kampanyalarının arkasındaki tehdit aktörleri arasında potansiyel bağlantılar olduğunu gösteriyor.
Google Cloud Run, kullanıcıların altyapıyı yönetmek veya ölçeklendirmek zorunda kalmadan ön uç ve arka uç hizmetlerini çalıştırmasına, toplu işler yapmasına, web siteleri ve uygulamaları dağıtmasına ve işleme iş yüklerini sıraya koymasına olanak tanıyan, yönetilen bir bilgi işlem platformudur.
Araştırmacılar, "Saldırganlar, Google Cloud Run'ı, çoğu kuruluşun dahili sistemlerin erişmesini engellemediği platformlarda dağıtım altyapısını dağıtmanın ucuz ama etkili bir yolu olarak görebilir" dedi.
Kimlik avı mesajları göndermek için kullanılan sistemlerin çoğu Brezilya'dan geliyor ve bunu ABD, Rusya, Meksika, Arjantin, Ekvador, Güney Afrika, Fransa, İspanya ve Bangladeş izliyor. E-postalar, bazı durumlarda yerel devlet vergi dairelerinden geliyormuş gibi görünen faturalar veya mali ve vergi belgeleriyle ilgili temalar taşır.
Bu mesajların içine gömülü, çalıştırılan bir web sitesine bağlantılar bulunur[.] uygulaması, kötü amaçlı bir MSI dosyası içeren bir ZIP arşivinin doğrudan veya 302 yönlendirmeleri aracılığıyla yükleyicinin depolandığı bir Google Cloud Storage konumuna teslim edilmesine neden olur.
Tehdit aktörlerinin, ziyaretçileri bu URL'lere bir ABD IP adresiyle erişirken Google gibi meşru bir siteye yönlendirerek coğrafi sınırlama hileleri kullanarak tespit edilmekten kaçınmaya çalıştıkları da gözlemlendi.
Hem Mekotio hem de Astaroth'u sunmak için aynı altyapıdan yararlanmanın yanı sıra, ikincisiyle ilişkili enfeksiyon zinciri, Ousaban'ı dağıtmak için bir kanal görevi görür.
Astaroth, Mekotio ve Ousaban, finansal kurumları ayırmak, kullanıcıların web'de gezinme etkinliklerini takip etmek, tuş vuruşlarını günlüğe kaydetmek ve hedef banka web sitelerinden birinin açık olması durumunda ekran görüntüsü almak için tasarlanmıştır.
Ousaban, daha önce ikinci aşama yüklerini indirmek için Amazon S3 ve Microsoft Azure'u ve komut ve kontrol (C2) yapılandırmasını almak için Google Dokümanlar'ı kullandığından, bulut hizmetlerini kendi avantajına kullanma geçmişine sahiptir.
Gelişme, DCRat, Remcos RAT ve DarkVNC gibi hassas verileri toplayabilen ve güvenliği ihlal edilmiş ana bilgisayarların kontrolünü ele geçirebilen kötü amaçlı yazılım ailelerini yayan kimlik avı kampanyalarının ortasında geliyor.
Ayrıca, potansiyel kurbanları mobil cihazlarına kötü amaçlı yazılım yüklemeleri için kandırmak için kimlik avı ve e-posta tabanlı saldırılarda (diğer adıyla quishing) QR kodlarını dağıtan tehdit aktörlerindeki artışı da takip ediyor.
Talos, "Ayrı bir saldırıda, saldırganlar, girildiğinde sonunda kullanıcının oturum açma kimlik bilgilerini çalan sahte Microsoft Office 365 oturum açma sayfalarına işaret eden kötü amaçlı QR kodları içeren hedef odaklı kimlik avı e-postaları gönderdi" dedi.
"QR kod saldırıları özellikle tehlikelidir çünkü saldırı vektörünü korunan bir bilgisayardan ve hedefin genellikle daha az güvenlik korumasına sahip olan ve nihayetinde saldırganların peşinde olduğu hassas bilgilere sahip olan kişisel mobil cihazına taşırlar."
Kimlik avı kampanyaları, şu anda 0.6.0 sürümüne ulaşan ve geliştiricileri tarafından sürekli bir yama ve güncelleme akışını vurgulayan Rhadamanthys adlı bir bilgi hırsızını dağıtmak için petrol ve gaz sektörüne de göz dikti.
Cofense, "Kampanya, kurbanları, başta Google Haritalar veya Google Görseller olmak üzere meşru bir alanda açık bir yönlendirmeyi kötüye kullanan gömülü bir bağlantıyla etkileşime girmeye ikna etmek için bir araç olay raporu kullanan bir kimlik avı e-postasıyla başlıyor" dedi.
Bağlantıya tıklayan kullanıcılar daha sonra, gerçekte bir GitHub deposuyla iletişim kuran ve hırsız yürütülebilir dosyasını içeren bir ZIP arşivi indiren tıklanabilir bir resim olan sahte bir PDF dosyası barındıran bir web sitesine yönlendirilir.
Şirket, "Bir kurban yürütülebilir dosyayla etkileşime girmeye çalıştığında, kötü amaçlı yazılım paketi açacak ve çalınan kimlik bilgilerini, kripto para cüzdanlarını veya diğer hassas bilgileri toplayan bir komuta ve kontrol (C2) konumuyla bağlantı kuracak" diye ekledi.
Kaspersky'ye göre diğer kampanyalar, müşteri posta listelerini elde etmek ve ikna edici görünen kimlik avı e-postaları göndermek için çalınan kimlik bilgilerinden yararlanmak için Twilio'nun SendGrid'i gibi e-posta pazarlama araçlarını kötüye kullandı.
Rus siber güvenlik şirketi, "Bu kampanyayı özellikle sinsi yapan şey, kimlik avı e-postalarının geleneksel güvenlik önlemlerini atlamasıdır" dedi. "Meşru bir hizmet aracılığıyla gönderildikleri ve belirgin bir kimlik avı belirtisi içermedikleri için, otomatik filtreler tarafından tespit edilmekten kaçınabilirler."
Bu kimlik avı faaliyetleri, hevesli siber suçluların kötü amaçlı kampanyalar düzenlemesi için uygun maliyetli ve ölçeklenebilir bir araç haline gelen Greatness ve Tycoon gibi kimlik avı kitlerinin kolay kullanılabilirliği ile daha da körüklenmektedir.
Trustwave SpiderLabs araştırmacısı Rodel Mendrez geçen hafta yaptığı açıklamada, hizmetin ilk olarak Ağustos 2023 civarında ortaya çıktığını belirterek, "Tycoon Group [hizmet olarak kimlik avı] Telegram'da 120 $ gibi düşük bir fiyata satılıyor ve pazarlanıyor" dedi.
"Temel satış özellikleri arasında Microsoft iki faktörlü kimlik doğrulamasını atlama, 'en üst düzeyde bağlantı hızı' elde etme ve antibot önlemlerinden kaçınmak için Cloudflare'den yararlanma ve tespit edilmemiş kimlik avı bağlantılarının kalıcılığını sağlama yeteneği yer alıyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı