GoldPickaxe Kötü Amaçlı Yazılımı Kullanıcının Yüzünü Kaydedebilir – Deepfake Dolandırıcılığı Yapmak İçin Video Kullanın
Mathew J. Schwartz (euroinfosec) •
15 Şubat 2024
Araştırmacılar, mali dolandırıcılık konusunda uzmanlaşmış, Çince konuşan bir siber suç grubunun, şu anda biyometrik verileri toplamak ve çalmak için kullandığı gelişmiş bankacılık Truva atlarının işlevselliğini ve erişimini genişletmeye devam ettiği konusunda uyardı.
Ayrıca bakınız: SASE ve NDR Birbirlerini Nasıl Tamamlıyor?
Siber güvenlik firması Group-IB, Perşembe günü yayınlanan bir raporda, GoldFactory kod adlı çetenin, mobil cihazlardan biyometrik yüz profilleri de dahil olmak üzere kişisel bilgileri toplamak için tasarlanmış Android ve iOS varyantlarıyla gelen GoldPickaxe adlı yeni bir Truva atı geliştirdiğini söyledi. cihazlar.
Group-IB, “Çalınan biyometrik verilerden yararlanmak için tehdit aktörü, derin sahtekarlıklar oluşturmak amacıyla yapay zeka destekli yüz değiştirme hizmetlerinden yararlanıyor” dedi ve kendi yüzünü kurbanınkiyle değiştirdi. “Bu veriler, kimlik belgeleri ve SMS’lere müdahale etme yeteneğiyle birleştiğinde, siber suçluların kurbanın banka hesabına yetkisiz erişim sağlamasına olanak tanıyor.”
GoldPickaxe bankacılık Truva Atı, devletin “Dijital Emeklilik” uygulaması gibi yaklaşık iki düzine meşru uygulamadan biri olarak gizlenmiş gibi görünüyor ve cihazda depolanan fotoğrafları çalabildiği gibi, sözde bir katılım süreci sırasında kullanıcılardan bilgi talep edebiliyor. araştırmacılar söyledi. Uygulama, kurbanın adı ve telefon numarası gibi bilgileri talep ediyor ve ardından kurbandan resmi kimlik kartının her iki tarafını da fotoğraflamasını istiyor, bu da uygulamanın yüzünün fotoğraflarını çekmesine olanak tanıyor. Daha sonra tüm resimleri saldırganın kontrol ettiği bir bulut kümesine yükler.
Grup-IB, “Yüzlerinin videosunu kaydederken göz kırpma, gülümseme, sola bakma, sağa bakma, başını aşağı, yukarı kaldırma ve ağzı açma gibi birkaç talimat verilecek” dedi. “Bu yaklaşım genellikle kapsamlı bir yüz biyometrik profili oluşturmak için kullanılıyor. Bu videolar ve resimler bulut kümesine yükleniyor.”
Apple iOS onaylanmamış uygulamaların yüklenmesini engellediği için saldırganlar, Apple’ın beta test uygulamaları için çevrimiçi TestFlight hizmeti aracılığıyla veya cihazlarının saldırgan tarafından kontrol edilen bir mobil cihaz yönetimi programına kaydedilmesine izin vererek kurbanlara kötü amaçlı yazılımlarını yüklemeleri için sosyal mühendislik yapmaya çalışıyor. Uygulamaları cihazlara otomatik olarak dağıtmak için kullanılabilir.
Şu ana kadar saldırganların GoldPickaxe’yi yalnızca Tayland hedeflerine karşı kullandığı görülüyor. Group-IB kötü amaçlı yazılım analisti Andrey Polovinkin, “Değerlendirmemize göre, GoldPickaxe’in yakında Vietnam kıyılarına ulaşması yakın görünüyor; teknikleri ve işlevselliği diğer bölgeleri hedef alan kötü amaçlı yazılımlara aktif olarak dahil edilecek” dedi. “Gelişmiş bir iOS Truva Atı’nın keşfi, Asya-Pasifik bölgesini hedef alan siber tehditlerin gelişen doğasını ortaya koyuyor.”
Biyometrik güvenlik kontrollerini yanıltmak için kullanılabilecek bilgileri çalma hamlesi, Tayland Bankası’nın Mart 2023’te ülke bankalarına yeni mobil bankacılık güvenlik gereksinimlerine uyma talimatı vermesinin ardından geldi. Merkez bankası artık kısmen, birisi yeni bir banka hesabı açmaya çalıştığında veya müşteriler işlem başına 50.000 baht (1.380 $) değerinde dijital para transferi yapmaya çalıştığında veya günlük transfer limitlerini değiştirdiğinde bankaların biyometrik kimlik doğrulamasını kullanmasını zorunlu kılıyor. 50.000 baht’tan fazla olması.
GoldFactory’nin saldırılarının tarihi en az Haziran 2023’tür. Group-IB, Android akıllı telefonlara bulaşmak için GoldDigger kod adına sahip bir Truva atı uygulamasının ilk kez o zaman tespit edildiğini söyledi. Uygulama, 50’den fazla Vietnam finansal uygulamasını, e-cüzdanını ve kripto para birimi uygulamasını hedef aldı. Truva atı, meşru kaynaklardan geliyormuş gibi görünen kimlik avı e-postaları ve spam SMS mesajları yoluyla dağıtılıyordu.
Araştırmacılar, o tarihten bu yana saldırganların hedeflerini Tayland’ı da kapsayacak şekilde genişlettiklerini ve GoldDiggerPlus ve GoldKefu adlı yeni türler ekleyerek Android kötü amaçlı yazılımlarını geliştirmeye devam ettiklerini söyledi. Ayrıca Tayland’ı hedefleyen GoldPickaxe’ın hem Android hem de iOS versiyonlarıyla gelen ve GoldDigger’ın çok daha gelişmiş bir versiyonu olabilecek bir versiyonunu da geliştirdiler. Güvenlik firmasının kötü amaçlı yazılım türlerinin adlarında “altın” kelimesini kullanması, hepsinin aynı gruba dayandığına işaret ediyor.
Group-IB, GoldFactory’nin kodunun, 2022’den beri Tayland ve Vietnam’ın yanı sıra Endonezya, Filipinler ve Peru’da bulunan yaklaşık 100 finans kuruluşunun kullanıcılarını hedef alan Gigabud adlı farklı bir kötü amaçlı yazılım türüyle örtüştüğünü söyledi. Gigabud ve GoldFactory’nin doğrudan bağlantılı olup olmadığı belirsizliğini koruyor.
Group-IB’den Polovinkin, Asya-Pasifik bölgesindeki kurbanlara karşı mobil bankacılık Truva atlarının kullanımında bir artış olduğunu ve bu faaliyetlerin tamamı olmasa da büyük kısmının GoldFactory’den kaynaklandığını söyledi. “Grubun iyi tanımlanmış süreçleri ve operasyonel olgunluğu var ve hedeflenen ortama uyum sağlamak için araç setini sürekli geliştirerek kötü amaçlı yazılım geliştirmede yüksek bir yeterlilik sergiliyor” dedi.