Kötü Amaçlı Reklam Kampanyası, GoPIX Kötü Amaçlı Yazılımıyla Brezilya'nın PIX Ödeme Sistemini Hedefliyor
Brezilya'nın PIX anında ödeme sisteminin popülaritesi, onu GoPIX adlı yeni bir kötü amaçlı yazılım kullanarak yasa dışı kar elde etmek isteyen tehdit aktörleri için kazançlı bir hedef haline getirdi.
Aralık 2022'den beri aktif kampanyayı takip eden Kaspersky, saldırıların potansiyel kurbanlar arama motorlarında "WhatsApp web" aradığında sunulan kötü amaçlı reklamlar kullanılarak gerçekleştirildiğini söyledi.
Rus siber güvenlik satıcısı, "Siber suçlular kötü amaçlı reklam kullanıyor: bağlantıları arama sonuçlarının reklam bölümüne yerleştiriliyor, böylece kullanıcı onları ilk önce görüyor" dedi. Böyle bir bağlantıya tıklarlarsa, kullanıcının kötü amaçlı yazılım açılış sayfasına ulaştığı bir yönlendirme izler."
Son zamanlarda gözlemlenen diğer kötü amaçlı reklam kampanyalarında olduğu gibi, reklamı tıklayan kullanıcılar, sanal alanları, botları ve gerçek kurban olarak kabul edilmeyen diğerlerini filtrelemeyi amaçlayan bir gizleme hizmeti aracılığıyla yönlendirilecektir.
Bu, site ziyaretçisinin insan mı yoksa bot mu olduğunu belirlemek için IPQualityScore olarak bilinen meşru bir dolandırıcılık önleme çözümü kullanılarak gerçekleştirilir. Kontrolü geçen kullanıcılara, kötü amaçlı bir yükleyici indirmeleri için onları kandırmak için sahte bir WhatsApp indirme sayfası görüntülenir.
İlginç bir şekilde, kötü amaçlı yazılım, kullanıcının makinesinde 27275 numaralı bağlantı noktasının açık olup olmadığına bağlı olarak iki farklı URL'den indirilebilir.
Kaspersky, "Bu bağlantı noktası Avast güvenli bankacılık yazılımı tarafından kullanılıyor" dedi. "Bu yazılım algılanırsa, bir sonraki aşamayı indiren gizlenmiş bir PowerShell betiği içeren bir LNK dosyası içeren bir ZIP dosyası indirilir."
Bağlantı noktası kapatılırsa, NSIS yükleyici paketi doğrudan indirilir. Bu, ek korumanın güvenlik yazılımını atlamak ve kötü amaçlı yazılımı teslim etmek için açıkça ayarlandığını gösterir.
Yükleyicinin temel amacı, svchost.exe Windows sistem işlemini askıya alınmış bir durumda başlatarak ve yükü içine enjekte ederek işlem içi boşaltma adı verilen bir teknik kullanarak GoPIX kötü amaçlı yazılımını almak ve başlatmaktır.
GoPIX, PIX ödeme isteklerini ele geçiren ve bunları bir komut ve kontrol (C2) sunucusundan alınan, saldırgan tarafından kontrol edilen bir PIX dizesiyle değiştiren bir pano hırsızı kötü amaçlı yazılımı olarak işlev görür.
Kaspersky, "Kötü amaçlı yazılım, Bitcoin ve Ethereum cüzdan adreslerinin değiştirilmesini de destekliyor" dedi. "Ancak, bunlar kötü amaçlı yazılımda kodlanmıştır ve C2'den alınmamıştır. GoPIX ayrıca C2 komutlarını da alabilir, ancak bunlar yalnızca kötü amaçlı yazılımın makineden kaldırılmasıyla ilgilidir."
Bu, arama motorlarında WhatsApp ve Telegram gibi mesajlaşma uygulamalarını arayan kullanıcıları hedefleyen tek kampanya değil.
Hong Kong bölgesinde yoğunlaşan yeni bir dizi saldırıda, Google arama sonuçlarındaki sahte reklamların, kullanıcıları cihazlarını bağlamak için bir QR kodu taramaya teşvik eden sahte benzer sayfalara yönlendirdiği tespit edildi.
Malwarebytes'in tehdit istihbaratı direktörü Jérôme Segura, Salı günü yayınlanan bir raporda, "Buradaki sorun, taradığınız QR kodunun WhatsApp ile hiçbir ilgisi olmayan kötü amaçlı bir siteden gelmesidir" dedi.
Sonuç olarak, tehdit aktörünün cihazı kurbanın WhatsApp hesaplarına bağlanır ve kötü niyetli tarafa sohbet geçmişlerine ve kayıtlı kişilerine tam erişim sağlar.
Malwarebytes, kullanıcıları enjektör kötü amaçlı yazılımı içeren bir Google Dokümanlar sayfasından sahte bir yükleyici indirmeye ikna etmek için Telegram'ı bir cazibe olarak kullanan benzer bir kampanya keşfettiğini söyledi.
Gelişme, Proofpoint'in Brezilya bankacılık truva atının Grandoreiro adlı yeni bir versiyonunun Meksika ve İspanya'daki kurbanları hedef aldığını ve etkinliği "sıklık ve hacim açısından olağandışı" olarak nitelendirdiğini ortaya çıkarmasıyla geldi.
Kurumsal güvenlik firması, kampanyayı, Brezilya ve Meksika'daki çeşitli varlıkları ayırmak için Brezilya bankacılık kötü amaçlı yazılımları ve kimlik avı kullanmasıyla tanınan TA2725 olarak izlediği bir tehdit aktörüne bağladı.
İspanya'nın hedef alınması, Latin Amerika odaklı kötü amaçlı yazılımların gözlerini giderek daha fazla Avrupa'ya diktiği yeni bir eğilime işaret ediyor. Bu Mayıs ayının başlarında SentinelOne, Brezilyalı bir tehdit aktörü tarafından 30'dan fazla Portekiz bankasını hırsız kötü amaçlı yazılımlarla hedef almak için uzun süredir devam eden bir kampanyayı ortaya çıkardı.
Bu arada, bilgi hırsızları siber suç ekonomisinde gelişiyor ve suç yazılımı yazarları, siber suçlulara saldırı gerçekleştirmek için uygun ve uygun maliyetli bir yol sağlayan hizmet olarak kötü amaçlı yazılım (MaaS) teklifleriyle yeraltı pazarını dolduruyor.
Dahası, bu tür araçlar, teknik uzmanlığa sahip olmayabilecek hevesli tehdit aktörleri için giriş engelini azaltır.
Hırsız ekosistemine en son katılan, ilk olarak Temmuz 2023'te siber suç forumlarında Collector adlı bir kullanıcı tarafından reklamı yapılan ve Telegram oturumlarını yakalama, tarayıcı çerezlerini ve şifrelerini toplama, dosyaları alma ve kripto cüzdanlarından veri çıkarma yeteneklerini pazarlayan Lumar'dır.
Kaspersky, "Tüm bu işlevlere sahip olmasına rağmen, kötü amaçlı yazılım boyut açısından nispeten küçüktür (yalnızca 50 KB), bu da kısmen C ile yazılmış olmasından kaynaklanmaktadır" dedi.
"Ortaya çıkan kötü amaçlı yazılımlar genellikle karanlık ağda daha az vasıflı suçlular arasında ilan ediliyor ve MaaS olarak dağıtılıyor, bu da yazarlarının hızla zenginleşmesine ve meşru kuruluşları tekrar tekrar tehlikeye atmasına izin veriyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı