Siber Muhbir

Kaspersky, Salı günü yayınlanan bir analizde, "Bu çetenin yalnızca bir kısmı tutuklandı: Grandoreiro'nun arkasındaki kalan operatörler dünyanın dört bir yanındaki kullanıcılara saldırmaya, yeni kötü amaçlı yazılımlar geliştirmeye ve yeni altyapı kurmaya devam ediyor" dedi.

Yeni eklenen diğer hilelerden bazıları, komut ve kontrol (C2) iletişimi, şifreli metin çalma (CTS) şifrelemesi ve fare takibi için bir alan oluşturma algoritmasının (DGA) kullanılmasını içerir. Ayrıca, özellikle Meksika'daki bankacılık müşterilerini hedeflemeye odaklanan "daha hafif, yerel versiyonlar" da gözlemlendi.

2016'dan beri aktif olan Grandoreiro, zaman içinde sürekli olarak gelişti, fark edilmemek için çaba sarf etti ve aynı zamanda coğrafi kapsamını Latin Amerika ve Avrupa'ya genişletti. 45 ülke ve bölgede bulunan 1.700 finans kurumunun kimlik bilgilerini çalma yeteneğine sahiptir.

Hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında çalıştığı söyleniyor, ancak kanıtlar yalnızca belirli siber suçlulara ve güvenilir ortaklara sunulduğuna işaret ediyor.

Bu yıl Grandoreiro ile ilgili en önemli gelişmelerden biri, kötü amaçlı yazılımın Delphi kod tabanının parçalanmasına yol açan bir olay olan grubun bazı üyelerinin tutuklanmasıdır.

Kaspersky, "Bu keşif, eşzamanlı kampanyalarda iki farklı kod tabanının varlığıyla destekleniyor: güncellenmiş kod içeren daha yeni örnekler ve eski kod tabanına dayanan eski örnekler, şimdi yalnızca Meksika'daki kullanıcıları hedefliyor - yaklaşık 30 bankanın müşterileri" dedi.

Grandoreiro, öncelikle bir kimlik avı e-postası yoluyla ve daha az ölçüde Google'da sunulan kötü amaçlı reklamlar aracılığıyla dağıtılır. İlk aşama, sırayla meşru bir dosya ve kötü amaçlı yazılımı indirmekten ve başlatmaktan sorumlu bir MSI yükleyici içeren bir ZIP dosyasıdır.

2023'te gözlemlenen kampanyaların, sanal alanları atlamak ve radarın altında uçmak için AMD Harici Veri SSD sürücüleri gibi davranarak 390 MB dosya boyutuna sahip son derece büyük taşınabilir yürütülebilir dosyalardan yararlandığı bulundu.

Bankacılık kötü amaçlı yazılımı, ana bilgisayar bilgilerini ve IP adresi konum verilerini toplamak için özelliklerle donatılmıştır. Ayrıca kullanıcı adını ayıklar ve "John" veya "WORK" dizelerini içerip içermediğini kontrol eder ve içeriyorsa yürütmesini durdurur.

Şirket, "Grandoreiro, Avast, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan ve CrowdStrike gibi kötü amaçlı yazılımdan koruma çözümleri arıyor" dedi. "Ayrıca Topaz OFD ve Trusteer gibi bankacılık güvenlik yazılımlarını da arıyor."

Kötü amaçlı yazılımın dikkate değer bir diğer işlevi, sistemde belirli web tarayıcılarının, e-posta istemcilerinin, VPN'nin ve bulut depolama uygulamalarının varlığını kontrol etmek ve bu uygulamalardaki kullanıcı etkinliğini izlemektir. Ayrıca, kripto para birimi işlemlerini tehdit aktörünün kontrolü altındaki cüzdanlara yeniden yönlendirmek için bir kesme makinesi görevi görebilir.

Bu yılki tutuklamaların ardından tespit edilen daha yeni saldırı zincirleri, otomatik analizi aşmanın bir yolu olarak ana yükün yürütülmesinden önce bir CAPTCHA bariyeri içeriyor.

Grandoreiro'nun en son sürümü, kendi kendini güncelleme, tuş vuruşlarını günlüğe kaydetme, kurbanları listelemek için ülkeyi seçme, bankacılık güvenlik çözümlerini tespit etme, spam e-postalar göndermek için Outlook'u kullanma ve belirli anahtar kelimeler için Outlook e-postalarını izleme gibi önemli güncellemeler de aldı.

Ayrıca, fare hareketlerini yakalayarak kullanıcı davranışını taklit etme ve dolandırıcılıkla mücadele sistemlerini etkinliği meşru olarak tanımlamaları için kandırma girişimini işaret edecek şekilde donatılmıştır.

Araştırmacılar, "Bu keşif, saldırganların davranışsal biyometri ve makine öğrenimine dayanan modern güvenlik çözümlerine karşı koymak için tasarlanmış taktikleri giderek daha fazla dahil ettiği Grandoreiro gibi kötü amaçlı yazılımların sürekli evrimini vurguluyor" dedi.

Kimlik bilgileri elde edildikten sonra, tehdit aktörleri fonları transfer uygulamaları, kripto para birimi veya hediye kartları veya bir ATM aracılığıyla yerel para katırlarına ait hesaplara nakde çevirir. Katırlar, Telegram kanalları kullanılarak tespit ediliyor ve çabaları için günde 200 ila 500 dolar arasında tazminat alıyor.

Kurban makinesine uzaktan erişim, hedeflenen bir finans kurumunun web sitesine göz atmaya başladıklarında kurbanların bir listesini görüntüleyen Operatör adlı Delphi tabanlı bir araç kullanılarak kolaylaştırılır.

Kaspersky, "Grandoreiro bankacılık kötü amaçlı yazılımının arkasındaki tehdit aktörleri, hedeflerine yönelik saldırıları başarılı bir şekilde gerçekleştirmek ve güvenlik çözümlerinden kaçınmak için taktiklerini ve kötü amaçlı yazılımlarını sürekli olarak geliştiriyor" dedi.

"Brezilya bankacılık truva atları zaten uluslararası bir tehdit; fidye yazılımlarına göç eden Doğu Avrupalı çetelerin bıraktığı boşlukları dolduruyorlar."

Gelişme, Meksikalı siber güvenlik firması Scitum'un, Latin Amerika (LATAM) bölgesindeki Windows kullanıcılarını hedeflemek için iki farklı bankacılık kötü amaçlı yazılım ailesi olan Mispadu ve Mekotio'nun dağıtımını içeren Gecko Assault adlı yeni bir kampanya konusunda uyarmasından haftalar sonra geldi.

LATAM kullanıcıları, özellikle Brezilya'dakiler, web tarayıcılarından bankacılık sitelerine eriştiklerinde hassas finansal bilgileri çalmak amacıyla Silver Oryx Blade kod adlı başka bir bankacılık truva atı tarafından da hedef alındı.

Scitum, "Silver Oryx Blade, kuruluşların çalışanları da dahil olmak üzere her tür kullanıcıdan bankacılık bilgilerini çalabilir" dedi. "Ek olarak, komut yürütme yeteneklerine sahip."

"Bu truva atının dağıtım yöntemi, iddia edilen maaş ikramiyeleri, PIX transferleri ve mali bildirimler gibi bahaneler kullanan, İK finans departmanlarını ve Brezilya Maliye Bakanlığı'nı taklit eden kimlik avı e-postalarıdır (Brezilyalı kullanıcıları hedef alır)."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.