Siber Muhbir

Hollandalı güvenlik ekibi ThreatFabric, Pazartesi günü yayınlanan teknik bir raporda, "Chameleon'un uluslararası alanda faaliyet gösteren Kanadalı bir restoran zincirini hedef alan bir CRM uygulaması kılığına girdiği görüldü" dedi.

Temmuz 2024'te tespit edilen kampanya, Kanada ve Avrupa'daki müşterileri hedef aldı ve mağduriyet ayak izinin Avustralya, İtalya, Polonya ve Birleşik Krallık'tan genişlediğini gösterdi.

Kötü amaçlı yazılımı içeren kötü amaçlı damlalık uygulamaları için CRM ile ilgili temaların kullanılması, hedeflerin konaklama sektöründeki müşteriler ve İşletmeden Tüketiciye (B2C) çalışanlar olduğuna işaret ediyor.

Damlalık yapıtları ayrıca, daha önce SecuriDroper ve Brokewell tarafından kullanılan bir teknik olan yandan yüklenen uygulamaların tehlikeli izinler (ör. erişilebilirlik hizmetleri) talep etmesini önlemek için Android 13 ve sonraki sürümlerde Google tarafından uygulanan Kısıtlı Ayarları atlamak üzere tasarlanmıştır.

Uygulama yüklendikten sonra, bir CRM aracı için sahte bir oturum açma sayfası görüntüler ve ardından kurbanları uygulamayı yeniden yüklemeye çağıran sahte bir hata mesajı görüntüler, gerçekte Chameleon yükünü dağıttığında.

Bu adımı, sahte CRM web sayfasının yeniden yüklenmesi takip eder, bu kez oturum açma işlemini tamamlamaları istenir, yalnızca "Hesabınız henüz etkinleştirilmedi. İK departmanı ile iletişime geçin."

Chameleon, cihaz üzerinde dolandırıcılık (ODF) yapmak ve kullanıcıların fonlarını hileli bir şekilde transfer etmek için donatılmıştır ve aynı zamanda kimlik bilgilerini, kişi listelerini, SMS mesajlarını ve coğrafi konum bilgilerini toplamak için yer paylaşımlarından ve geniş kapsamlı izinlerinden yararlanır.

ThreatFabric, "Saldırganlar kurumsal bankacılığa erişimi olan bir cihaza bulaşmayı başarırsa, Chameleon ticari bankacılık hesaplarına erişim sağlar ve kuruluş için önemli bir risk oluşturur" dedi. "Rolleri CRM içeren çalışanlar için bu tür bir erişim olasılığının artması, bu son kampanya sırasında maskeli balo seçiminin arkasındaki olası nedendir."

Gelişme, IBM X-Force'un CyberCartel grubu tarafından kimlik bilgilerini ve finansal verileri çalmanın yanı sıra kötü amaçlı Google Chrome uzantıları aracılığıyla Caiman adlı bir truva atı sunmak için gerçekleştirilen bir Latin Amerika bankacılık kötü amaçlı yazılım kampanyasını detaylandırmasından haftalar sonra geldi.

Şirket, "Bu kötü niyetli faaliyetlerin nihai amacı, kurbanın tarayıcısına zararlı bir tarayıcı eklentisi yüklemek ve Tarayıcıdaki Adam tekniğini kullanmaktır" dedi.

"Bu, saldırganların hassas bankacılık bilgilerini, güvenliği ihlal edilmiş makine bilgileri ve isteğe bağlı ekran görüntüleri gibi diğer ilgili verilerle birlikte yasa dışı bir şekilde toplamasına olanak tanıyor. Güncellemeler ve yapılandırmalar, tehdit aktörleri tarafından bir Telegram kanalı aracılığıyla yayılır."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.