CyberProof’taki güvenlik araştırmacıları, WhatsApp aracılığıyla aktif olarak Brezilyalı kullanıcıları hedef alan iki gelişmiş bankacılık truva atı Maverick ve Coyote arasındaki kritik bağlantıları ortaya çıkardı.
Keşif, mesajlaşma platformu aracılığıyla işaretlenen şüpheli bir dosya indirme olayının araştırılmasının ardından geldi ve bu, iki kötü amaçlı yazılım ailesi arasındaki endişe verici benzerlikleri ortaya çıkaran kapsamlı bir tehdit analizine yol açtı.
Soruşturma, CyberProof’un SOC ekibi ve tehdit avcılarının WhatsApp indirmelerinden kaynaklanan kötü amaçlı dosya etkinliğini tespit etmesiyle başladı.
Komuta ve kontrol bağlantılarının başarısız olması nedeniyle enfeksiyon zincirinin tamamının ele geçirilmesi zor olsa da, VirusTotal avlama teknikleri araştırmacıların Brezilya hedefleme kampanyasıyla bağlantılı ek örnekler toplamasına olanak tanıdı.
Bu verilerin Kaspersky, Sophos ve Trend Micro gibi güvenlik şirketlerinin kamuya açık araştırmalarıyla çapraz referanslanması, bu bankacılık truva atları ile WhatsApp solucanı ve Sorvepotel kötü amaçlı yazılımı gibi daha önceki varyantlar arasındaki ilişkiyi doğruladı.
Teknik analiz, Maverick ile Coyote arasında çarpıcı paralellikler ortaya koyuyor ve ilgili tehdit aktörleri tarafından olası kod paylaşımı veya geliştirilmesine işaret ediyor.
Her iki kötü amaçlı yazılım da WhatsApp aracılığıyla yayılıyor ve çok aşamalı saldırılarda PowerShell işlemlerini oluşturan kısayol (.lnk) dosyalarıyla başlayan aynı enfeksiyon zincirlerini kullanıyor.
Hedeflenen bankacılık URL’lerinin şifresini çözmek için aynı şifreleme algoritmalarını kullanıyorlar ve bankacılık uygulamalarını izlemek için neredeyse aynı rutinleri uyguluyorlar.
Her iki aile de .NET ile yazılmıştır ve özellikle Brezilya finans kurumlarını ve onların kullanıcılarını hedef almaktadır.
Sonraki PowerShell.exe, 109.176.30.141 ile bir giden bağlantı kurdu.
Maverick enfeksiyonlarında gözlemlenen saldırı zinciri, karmaşık gizleme tekniklerini göstermektedir. Araştırmacılar, web.whatsapp.com adresinden indirilen, Base64 ve UTF-16LE kodlamasıyla birleştirilmiş iç içe döngü içi yapıları kullanarak karmaşık PowerShell komutları oluşturan, gizlenmiş kod içeren kötü amaçlı bir zip dosyası tespit etti.
Bu yaklaşım, kötü amaçlı komutları birden fazla değişkene bölerek dize eşleştirme güvenlik araçları tarafından tespit edilmesini önler. Bu komutlar yürütüldüğünde, saldırganın kontrolündeki altyapıdan ikinci aşama veri yüklerini indirir, Microsoft Defender korumalarını kapatır ve Kullanıcı Hesabı Denetimini (UAC) devre dışı bırakır.
İkinci aşama verisi, dosyasız yürütme tekniklerini kullanan bir .NET yükleyicisi olarak çalışır. Bu yükleyici, komuta ve kontrol iletişimi kurmadan önce tersine mühendislik araçlarını tespit etmek için anti-analiz kontrolleri gerçekleştirir. Kaspersky araştırmasına göre yalnızca C2 yayındayken sonraki aşamalara geçiyor.
Başarılı bir bağlantının ardından, WhatsApp Web oturumlarını ele geçirmek için tasarlanmış bir bileşen ve birincil aracıya gömülü bankacılık bilgilerini çalma modülü de dahil olmak üzere özel modüller indiriyor.
Paylaşılan Altyapı ve Saldırı Modelleri
Maverick özellikle Bradesco, Banco do Brasil, Itaú gibi büyük bankaların yanı sıra Binance ve Foxbit gibi kripto para borsaları da dahil olmak üzere Brezilya finans kurumlarını hedef alıyor.
Benzer şifrelemenin hem Maverick hem de Coyote’ta görülen Brezilya bankacılık web sitesi URL’lerinin şifresini çözdüğü görüldü. Her ikisinin de base64’te depolanan banka URL’lerinin şifresini çözmek için AES + GZIP kullandığı biliniyor.
Kötü amaçlı yazılım, toplu dosyaları Windows başlangıç klasörlerine “HealthApp-” biçimini izleyen adlandırma kalıplarıyla dağıtarak kalıcılığı korur.[GUID].bat.” Bu kalıcılık mekanizmaları, ek yük aşamalarını almak için komut ve kontrol sunucularıyla bağlantı kurar.
Tehdit aktörleri, kötü amaçlı yazılımın yalnızca Brezilya’da çalıştığından emin olmak için tarayıcı tespit rutinleri ve coğrafi konum kontrolleri de dahil olmak üzere çeşitli kaçırma stratejileri kullanıyor.
Kötü amaçlı yazılım ayrıca, kullanıcılar hedeflenen finansal platformlara eriştiğinde tarayıcı pencerelerini izlemek ve bankacılık oturumu verilerine müdahale etmek için kapsamlı bir kod içerir.
CyberProof araştırmacıları, SOC ekipleri ve tehdit avcılarının kendi ortamlarında WhatsApp aracılığıyla indirilen şüpheli dosyaları tespit etmeleri için tasarlanmış ayrıntılı bir av sorgusu yayınladı. Bu sorgu, WhatsApp kaynaklarından dosya indirme olaylarını sonraki PowerShell yürütme modelleriyle ilişkilendirerek kuruluşların, kötü amaçlı yazılım kullanıma sunulmadan önce benzer saldırı zincirlerini tespit etmesine olanak tanır.
Maverick ve Coyote arasındaki bu güçlü teknik bağlantıların keşfi, Brezilya odaklı bankacılık kötü amaçlı yazılım kampanyalarının gelişen karmaşıklığını ortaya koyuyor.
Finans sektöründe faaliyet gösteren kuruluşlar ve müşterileri, şüpheli WhatsApp dosyası indirmelerine karşı dikkatli olmalı ve bu kalıcı tehditlere karşı savunma sağlamak için güçlü uç nokta koruması, uygulama beyaz listesi ve davranışsal analiz yeteneklerini uygulamalıdır.
Uzlaşma Göstergesi
| İhtisas | IP Adresi | ASN |
|---|---|---|
| casadecampoamazonas[.]iletişim | 181.41.201.184 | 212238 |
| dondurma kabı[.]iletişim | 77.111.101.169 | 396356 |
| Zapgrande[.]iletişim | 109.176.30.141 | 212238 |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.