Siber Muhbir

JavaScript web enjeksiyonlarını kullanan etkinlik kümesinin, Kuzey Amerika, Güney Amerika, Avrupa ve Japonya'yı kapsayan en az 50.000 virüslü kullanıcı oturumuna yol açtığı tahmin ediliyor.

IBM Security Trusteer, kampanyayı Mart 2023'te tespit ettiğini söyledi.

Güvenlik araştırmacısı Tal Langus, "Tehdit aktörlerinin web enjeksiyon modülüyle ilgili niyeti, popüler bankacılık uygulamalarını tehlikeye atması ve kötü amaçlı yazılım yüklendikten sonra, bankacılık bilgilerine erişmek ve muhtemelen para kazanmak için kullanıcıların kimlik bilgilerini ele geçirmesi muhtemeldir" dedi.

Saldırı zincirleri, tehdit aktörü tarafından kontrol edilen sunucudan yüklenen komut dosyalarının kullanılmasıyla karakterize edilir ("jscdnpack[.] com"), özellikle birkaç bankada ortak olan bir sayfa yapısını hedefler. Kötü amaçlı yazılımın, kimlik avı e-postaları veya kötü amaçlı reklamlar gibi başka yollarla hedeflere iletildiğinden şüpheleniliyor.

Kurban bir banka web sitesini ziyaret ettiğinde, oturum açma sayfası, kimlik bilgilerini ve tek seferlik parolaları (OTP'ler) toplayabilen kötü amaçlı JavaScript'i içerecek şekilde değiştirilir. Senaryo, gerçek niyetini gizlemek için gizlenmiştir.

Langus, "Bu web enjeksiyonu, farklı giriş sayfalarına sahip bankaları hedef almıyor, ancak virüslü makine hakkında sunucuya veri gönderiyor ve diğer bankaları hedeflemek için kolayca değiştirilebiliyor" dedi.

"Komut dosyasının davranışı son derece dinamiktir, hem komut ve kontrol (C2) sunucusunu hem de mevcut sayfa yapısını sürekli olarak sorgular ve elde edilen bilgilere göre akışını ayarlar."

Sunucudan gelen yanıt, bir sonraki eylem planını belirleyerek, enjeksiyonların izlerini silmesine ve güvenlik korumalarını atlamak için OTP'leri kabul etmek için sahte kullanıcı arabirimi öğeleri eklemesine ve çevrimiçi bankacılık hizmetlerinin 12 saatlik bir süre boyunca kullanılamayacağını söyleyen bir hata mesajı sunmasına olanak tanır.

IBM, bunun kurbanları hesaplarına giriş yapmaktan caydırma girişimi olduğunu ve tehdit aktörlerine hesapların kontrolünü ele geçirme ve yetkisiz eylemler gerçekleştirme fırsatı sağladığını söyledi.

Kötü amaçlı yazılımın kesin kökeni şu anda bilinmemekle birlikte, güvenlik ihlali göstergeleri (IoC'ler), Google Arama'daki kötü amaçlı reklamlar aracılığıyla yayılan ve fidye yazılımı için ilk erişim vektörü görevi gören DanaBot olarak bilinen bilinen bir hırsız ve yükleyici ailesiyle olası bir bağlantı olduğunu gösteriyor.

Langus, "Bu karmaşık tehdit, özellikle dinamik iletişimi, web enjeksiyon yöntemleri ve sunucu talimatlarına ve mevcut sayfa durumuna göre uyum sağlama yeteneği ile tarayıcıdaki adam saldırılarını gerçekleştirmede gelişmiş yetenekler sergiliyor" dedi.

Gelişme, Sophos'un potansiyel hedeflerin sahte bir likidite madenciliği hizmetine yatırım yapmaya ikna edildiği bir domuz kasaplığı planına daha fazla ışık tutması ve oyunculara bu yıl 15 Kasım itibariyle 90 kurbandan yaklaşık 2,9 milyon dolar değerinde kripto para kazandıran daha geniş bir dolandırıcılık setini ortaya çıkarmasıyla geldi.

Güvenlik araştırmacısı Sean Gallagher, "Aynı hileli merkezi olmayan finans ('DeFi') uygulama sitelerini kullanan üç ayrı tehdit faaliyet grubu tarafından yönetiliyor gibi görünüyorlar, bu da tek bir [Çin] organize suç çetesinin parçası olduklarını veya bağlantılı olduklarını gösteriyor" dedi.

Europol tarafından bu haftanın başlarında İnternet Organize Suç Tehdidi Değerlendirmesinde (IOCTA) paylaşılan verilere göre, yatırım dolandırıcılığı ve iş e-postası ele geçirme (BEC) dolandırıcılığı en üretken çevrimiçi dolandırıcılık planları olmaya devam ediyor.

Ajans, "Yatırım dolandırıcılığıyla ilgili endişe verici bir tehdit, aynı kurbanlara karşı diğer dolandırıcılık planlarıyla birlikte kullanılmasıdır" dedi.

"Yatırım dolandırıcılığı bazen romantizm dolandırıcılığıyla bağlantılıdır: suçlular kurbanla yavaş yavaş bir güven ilişkisi kurar ve ardından onları tasarruflarını sahte kripto para birimi ticaret platformlarına yatırmaya ikna ederek büyük mali kayıplara yol açar."

İlgili bir notta, siber güvenlik şirketi Group-IB, Kasım 2023'ün başından bu yana posta operatörlerini ve teslimat şirketlerini taklit eden 1.539 kimlik avı web sitesi tespit ettiğini söyledi. Tek bir dolandırıcılık kampanyası için oluşturulduklarından şüpheleniliyor.

Bu saldırılarda, kullanıcılara iyi bilinen posta hizmetlerini taklit eden SMS mesajları gönderilir ve acil veya başarısız teslimatları gerekçe göstererek kişisel ve ödeme bilgilerini girmek için sahte web sitelerini ziyaret etmeleri istenir.

Operasyon, radarın altında uçmak için çeşitli kaçınma yöntemlerini içermesiyle de dikkat çekiyor. Bu, coğrafi konumlara göre dolandırıcılık web sitelerine erişimi sınırlamayı, yalnızca belirli cihazlarda ve işletim sistemlerinde çalıştıklarından emin olmayı ve yayında oldukları süreyi kısaltmayı içerir.

Group-IB, "Kampanya 53 ülkedeki posta markalarını etkiliyor" dedi. "Tespit edilen kimlik avı sayfalarının çoğu Almanya (%17,5), Polonya (%13,7), İspanya (%12,5), İngiltere (%4,2), Türkiye (%3,4) ve Singapur'daki (%3,1) kullanıcıları hedefliyor."