Siber Muhbir

Fortinet FortiGuard Labs araştırmacısı Cara Lin, "Bu karmaşık saldırı, PDF'nin bir ZIP dosyası indirmesini ve ardından son kötü amaçlı yazılımı yürütmek için DLL yandan yükleme tekniklerini kullanmasını içeriyor" dedi.

Saldırı zinciri, kullanıcıları belgeleri okumak ve imzalamak için bir düğme içeren PDF dosyalarını açmaları için kandırmak için sözleşme temalı DocuSign tuzaklarının kullanılmasını içerir.

Gerçekte, düğmeye tıklamak, Goo.su URL kısaltma hizmeti kullanılarak kısaltılan uzak bir bağlantıdan bir yükleyici dosyasının alınmasına yol açar.

Yükleyicide, hassas bilgilerin çalınmasını kolaylaştıran CHAVECLOAK kötü amaçlı yazılımı olan "Lightshot.dll" yüklemek için DLL yandan yüklemesinden yararlanan "Lightshot.exe" adlı bir yürütülebilir dosya bulunur.

Bu, güvenliği ihlal edilmiş makinenin Brezilya'da bulunup bulunmadığını belirlemek için sistem meta verilerini toplamayı ve denetimleri çalıştırmayı ve eğer öyleyse, önceden tanımlanmış bir bankayla ilgili dizeler listesiyle karşılaştırmak için ön plan penceresini düzenli aralıklarla izlemeyi içerir.

Eşleşirse, bir komuta ve kontrol (C2) sunucusuyla bağlantı kurulur ve çeşitli türde bilgileri toplamaya ve bunları finans kurumuna bağlı olarak sunucudaki farklı uç noktalara aktarmaya devam eder.

Lin, "Kötü amaçlı yazılım, operatörün kurbanın ekranını engellemesine, tuş vuruşlarını kaydetmesine ve aldatıcı açılır pencereler görüntülemesine izin vermek gibi bir kurbanın kimlik bilgilerini çalmak için çeşitli eylemleri kolaylaştırıyor" dedi.

"Kötü amaçlı yazılım, kurbanın hem geleneksel bankacılık hem de kripto para birimi platformlarını kapsayan çeşitli bankalar ve Mercado Bitcoin dahil olmak üzere belirli finansal portallara erişimini aktif olarak izliyor."

Fortinet, CHAVECLOAK'un bir Delphi varyantını da ortaya çıkardığını ve Latin Amerika'yı hedef alan Delphi tabanlı kötü amaçlı yazılımların yaygınlığını bir kez daha vurguladığını söyledi.

Lin, "CHAVECLOAK bankacılık Truva Atı'nın ortaya çıkışı, özellikle Brezilya'daki kullanıcılara odaklanarak finans sektörünü hedef alan siber tehditlerin gelişen manzarasının altını çiziyor" dedi.

Copybara Android Bankacılık Truva Atı İngiltere, İspanya ve İtalya'yı Vurdu 

Bulgular, İngiltere, İspanya ve İtalya'ya karşı devam eden bir mobil bankacılık dolandırıcılığı kampanyasının ortasında geldi ve smishing ve vishing (yani SMS ve sesli kimlik avı) taktiklerini kullanarak Copybara adlı bir Android kötü amaçlı yazılımını dağıtmak için para katırları tarafından işletilen bir banka hesabı ağına yetkisiz bankacılık transferleri yapmak amacıyla kullandı.

Cleafy, geçen hafta yayınlanan bir raporda, "TA'lar [Tehdit aktörleri], devam eden tüm kimlik avı kampanyalarını 'Bay Robot' olarak bilinen merkezi bir web paneli aracılığıyla yönetmek için yapılandırılmış bir yol kullanılarak yakalandı" dedi.

"Bu panel ile TA'lar, ihtiyaçlarına göre birden fazla kimlik avı kampanyasını (farklı finansal kurumlara karşı) etkinleştirebilir ve yönetebilir."

C2 çerçevesi ayrıca saldırganların, hedeflenen varlığın kullanıcı arayüzünü taklit etmek üzere tasarlanmış kimlik avı kitlerini kullanarak farklı finansal kurumlara özel saldırılar düzenlemesine olanak tanırken, aynı zamanda yalnızca mobil cihazlardan gelen bağlantıları sınırlamak için coğrafi sınırlama ve cihaz parmak izi yoluyla algılama önleme yöntemlerini benimser.

Sahte bir giriş sayfası olarak hizmet veren kimlik avı kiti, perakende bankacılık müşteri kimlik bilgilerini ve telefon numaralarını ele geçirmekten ve ayrıntıları bir Telegram grubuna göndermekten sorumludur.

Kampanya için kullanılan kötü amaçlı altyapının bir kısmı, virüslü tüm cihazları ve bunların coğrafi dağılımını canlı bir harita üzerinde görüntüleyen JOKER RAT adlı bir C2 paneli kullanılarak yönetilen Copybara'yı sunmak için tasarlanmıştır.

Ayrıca, tehdit aktörlerinin bir VNC modülü kullanarak virüslü bir cihazla gerçek zamanlı olarak uzaktan etkileşime girmesine olanak tanır, ayrıca kimlik bilgilerini sifonlamak için bankacılık uygulamalarının üzerine sahte kaplamalar enjekte etmeye, Android'in erişilebilirlik hizmetlerini kötüye kullanarak tuş vuruşlarını günlüğe kaydetmeye ve SMS mesajlarını ele geçirmeye ek olarak.

Bunun da ötesinde, JOKER RAT, hileli uygulamanın adını, paket adını ve simgelerini özelleştirmeyi mümkün kılan bir APK oluşturucu ile birlikte gelir.

Cleafy araştırmacıları Francesco Iubatti ve Federico Valentini, "Panelin içinde bulunan bir diğer özellik de, muhtemelen virüslü cihazlara, kullanıcıyı bankanın uygulamasını kötü amaçlı yazılımın kimlik bilgilerini çalabileceği şekilde açmaya ikna etmek için bir banka bildirimi gibi görünen sahte push bildirimleri göndermek için kullanılan 'Push Bildirimi'dir" dedi.

Cihaz üzerinde dolandırıcılık (ODF) planlarının artan karmaşıklığı, PDF okuyucu uygulamaları kisvesi altında Google Play Store'a sızmayı başaran, yakın zamanda açıklanan bir TeaBot (diğer adıyla Anatsa) kampanyasıyla daha da kanıtlanıyor.

Iubatti, "Bu uygulama, TeaBot ailesinin bir bankacılık truva atının birden fazla aşamada indirilmesini kolaylaştıran bir damlalık görevi görüyor" dedi. "Bankacılık truva atını indirmeden önce, damlalık, kurban ülkeler hakkında birden fazla kontrolün yanı sıra gizleme ve dosya silme dahil olmak üzere gelişmiş kaçınma teknikleri gerçekleştirir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.