Araştırmacılar, bir mobil kimlik avı (mishing) kampanyası yoluyla Android mobil cihazları hedef alan AntiDot bankacılık truva atının yeni bir versiyonunu keşfetti; bu varyant, Mayıs 2024’te Cyble tarafından tanımlanan sürüme dayanıyor.
Saldırganlar, kurbanları cezbetmek için iş fırsatları sunan işe alım görevlileri gibi davranarak sosyal mühendislik taktiklerinden yararlanıyor. Bir kullanıcı kimlik avı mesajındaki kötü amaçlı bir bağlantıya tıkladığında, AppLite kötü amaçlı yazılımını dağıtmak üzere tasarlanmış kimlik avı etki alanlarından oluşan bir ağa yönlendirilir.
Başarılı kurulumun ardından AppLite, saldırgana ele geçirilen cihazda bankacılık uygulamaları, kripto para cüzdanları ve sosyal medya hesapları, e-posta istemcileri ve mesajlaşma platformları gibi potansiyel olarak diğer hassas uygulamalar için kimlik bilgileri hırsızlığı da dahil olmak üzere çok çeşitli kötü amaçlı yetenekler sağlar.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Saldırganlar, bu hesapların kimlik bilgilerini çalarak kullanıcının finansal bilgilerine, dijital varlıklarına ve kişisel iletişimlerine yetkisiz erişim sağlayabilir ve hatta potansiyel olarak çevrimiçi kimliklerini ele geçirebilir.
AppLite kampanyasının analizi birkaç önemli teknik noktayı vurgulamaktadır. İlk olarak saldırganlar, kimlik avı alanlarını dinamik olarak oluşturmak için alan adı oluşturma algoritmaları (DGA) olarak bilinen bir teknikten yararlanıyor.
Yeni URL’ler hızlı bir şekilde oluşturulabildiğinden, bu durum geleneksel güvenlik çözümlerinin tüm kötü amaçlı URL’leri engellemesini zorlaştırır.
Bu zorluğun üstesinden gelmek için Zimperium’un zLabs araştırmacıları, DGA tabanlı kampanyalarla ilişkili kötü amaçlı etki alanlarını tespit etmek ve engellemek için makine öğrenimi algoritmalarından yararlanıyor.
Makine öğrenimi modelleri, bilinen kötü amaçlı URL’lerden oluşan geniş veri kümeleri üzerinde eğitilir ve daha önce hiç görülmemiş olsalar bile kimlik avı etki alanlarının göstergesi olan kalıpları ve özellikleri tanımlayabilir; bu, DGA tabanlı kimlik avına karşı gerçek zamanlı koruma sağlamaya olanak tanır. saldırılar.
İkincisi, kötü amaçlı yazılımın kötü amaçlı kodu gizlendiğinden veya gizlendiğinden, AppLite kötü amaçlı yazılımının kendisi, statik analiz araçları tarafından tespit edilmekten kaçınmak için karartılmıştır, bu da güvenlik araştırmacılarının nasıl çalıştığını anlamasını zorlaştırır.
Bu taktiğe karşı koymak için, kötü amaçlı yazılımın kullandığı gizleme yöntemlerinden bağımsız olarak kötü amaçlı etkinlikleri tespit etmek için gelişmiş davranışsal analiz tekniklerini kullanırlar; burada davranışsal analiz, bir uygulamanın herhangi bir şüpheli veya kötü niyetli davranış sergileyip sergilemediğini belirlemek için bir cihazdaki eylemlerinin izlenmesini içerir.
Bir uygulama diğer uygulamalardan kimlik bilgilerini çalmaya çalışıyorsa veya bilinen komuta ve kontrol sunucularıyla iletişim kuruyorsa bu, kötü niyetli niyetin göstergesi olabilir.
Son olarak saldırganlar, meşru web sitelerine kötü amaçlı kod enjekte etmek için yansıma olarak bilinen bir teknik kullanıyor. Yansıma saldırısında saldırganlar, web sitesindeki bir güvenlik açığından yararlanarak web sitesinin yanıtına rastgele kod eklemelerine olanak tanır.
Enjekte edilen kod daha sonra kimlik bilgilerini çalmak, kötü amaçlı yazılım dağıtmak veya diğer kötü amaçlı eylemleri gerçekleştirmek için kullanılabilir; çözüm ise ağ trafiğini kötü amaçlı kod ekleme işaretleri açısından inceleyerek ve bu yöntem aracılığıyla kötü amaçlı yazılım dağıtma girişimlerini engelleyerek yansıma tabanlı saldırılara karşı savunma yapar. .
Kullanıcılar, şüpheli kalıp ve davranışları aramak için ağdaki trafiğin analizini yaparak, şaşırtılmış olsalar veya yeni teknikler kullansalar bile yansıma saldırılarını tanımlayabilir ve önleyebilirler.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free