Siber Muhbir

Brezilya Federal Polisi, São Paulo, Santa Catarina, Pará, Goiás ve Mato Grosso eyaletlerinde beş geçici tutuklama emri ve 13 arama ve el koyma emri çıkardığını söyledi.

Bu çabaya ek yardım sağlayan Slovak siber güvenlik firması ESET, Grandoreiro'nun ağ protokolünde mağduriyet kalıplarını tanımlamasına yardımcı olan bir tasarım kusurunu ortaya çıkardığını söyledi.

Grandoreiro, öncelikle İspanya, Meksika, Brezilya ve Arjantin gibi ülkeleri hedef alan Javali, Melcoz, Casabeniero, Mekotio ve Vadokrist gibi birçok Latin Amerika bankacılık truva atından biridir. 2017'den beri aktif olduğu biliniyor.

Ekim 2023'ün sonlarında Proofpoint, kötü amaçlı yazılımın güncellenmiş bir sürümünü Meksika ve İspanya'daki hedeflere dağıtan bir kimlik avı kampanyasının ayrıntılarını açıkladı.

Bankacılık truva atı, hem keylogger'lar ve ekran görüntüleri aracılığıyla veri çalma hem de virüs bulaşmış bir kurban tehdit aktörleri tarafından hedeflenen önceden belirlenmiş bankacılık sitelerini ziyaret ettiğinde bindirmelerden banka oturum açma bilgilerini sifonlama yeteneklerine sahiptir. Ayrıca sahte açılır pencereler görüntüleyebilir ve kurbanın ekranını engelleyebilir.

Saldırı zincirleri tipik olarak, açıldığında veya tıklandığında kötü amaçlı yazılımların dağıtılmasına yol açan ve daha sonra makineyi manuel olarak uzaktan kontrol etmek için bir komuta ve kontrol (C&C) sunucusuyla iletişim kuran sahte belgeler veya kötü amaçlı URL'ler taşıyan kimlik avı tuzaklarından yararlanır.

ESET, "Grandoreiro, bir web tarayıcısı işlemine ait olanı bulmak için ön plan penceresini periyodik olarak izliyor" dedi.

"Böyle bir pencere bulunduğunda ve adı, bankayla ilgili dizelerin sabit kodlanmış bir listesindeki herhangi bir dizeyle eşleştiğinde, o zaman ve ancak o zaman kötü amaçlı yazılım, C&C sunucusuyla iletişimi başlatır ve sonlandırılana kadar saniyede en az bir kez istek gönderir."

Kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin, Ekim 2020'den bu yana C&C trafiği için bir hedef etki alanını dinamik olarak tanımlamak için bir etki alanı oluşturma algoritması (DGA) kullandığı ve bu da altyapıyı engellemeyi, izlemeyi veya ele geçirmeyi zorlaştırdığı biliniyor.

Bu etki alanlarının çözümlendiği IP adreslerinin çoğu, öncelikle Amazon Web Services (AWS) ve Microsoft Azure tarafından sağlanır ve C&C IP adreslerinin ömrü 1 gün ile 425 gün arasında değişir. Ortalama olarak, günde sırasıyla 13 aktif ve üç yeni C&C IP adresi vardır.

ESET ayrıca, Grandoreiro'nun C&C için RealThinClient (RTC) ağ protokolünü hatalı bir şekilde uygulamasının, C&C sunucusuna bağlı kurbanların sayısı hakkında bilgi edinmeyi mümkün kıldığını ve bir günde ortalama 551 benzersiz kurban belirlediğini söyledi.

Daha fazla araştırma, her gün ortalama 114 yeni benzersiz kurbanın C&C sunucularına bağlandığını buldu.

ESET, "Brezilya Federal Polisi tarafından yürütülen kesinti operasyonu, Grandoreiro operasyon hiyerarşisinde üst sıralarda yer aldığına inanılan bireyleri hedef aldı" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.