Tehdit aktörleri, 40’tan fazla Meksika ve Brezilya bankasının arayüzlerini kopyalayan mevcut bir bankacılık Truva Atı’nın yeni bir çeşidiyle Latin Amerika’daki yüzlerce bankacılık müşterisini hedef alıyor. Kampanya, virüs bulaşmış kurbanları iki faktörlü kimlik doğrulamadan (2FA) ve/veya ödeme kartı ayrıntılarından vazgeçmeleri için kandırmayı, böylece saldırganların banka hesaplarını ele geçirmesini amaçlıyor.
Check Point Software araştırmacıları, 20 Eylül’deki bir blog yazısında, ilk enfeksiyon taşıyıcısı kimlik avı yoluyla olan aktif kampanyanın, BBTok bankacılık zararlı yazılımının bir çeşidini Meksika ve Brezilya’daki kurbanlara yaymayı amaçladığını ortaya çıkardı.
Check Point Ekibi, kampanyanın arkasındaki aktörlerin, saldırıların kapsamını genişletmek için “Living off the Land Binary’lerin (LOLBins) benzersiz bir kombinasyonunu kullanarak düşük tespit oranlarına yol açarak” farklı Windows sürümleri için çeşitlendirilmiş enfeksiyon zincirleri sürdürdüğünü yazdı. yazıda.
Araştırmacılara göre, bu gelişmiş gizleme teknikleri, BBTok’un ekler yerine kimlik avı bağlantıları aracılığıyla dağıtılması ve kurbanların yalnızca Brezilya ve Meksika’da bulunmasını sağlayan gelişmiş coğrafi sınırlama, kötü amaçlı yazılımı dağıtan saldırganların taktiklerinde bir evrim olduğunu gösteriyor.
Kampanyanın en ayırt edici özelliği, Meksika ve Brezilya’daki 40’tan fazla banka için “şüphelenmeyen kullanıcıları kişisel ve mali bilgilerini açıklamaya ikna edecek, kurbanı güvenlik kodunu/jeton numarasını girmesi için kandıracak kadar ikna edici” sahte arayüzler kullanmasıdır. için 2FA görevi görür [a] banka hesabı,” diye yazdı Check Point Ekibi.
Bu, sonuçta saldırıların kurbanın kimlik bilgilerini kullanarak banka hesabını ele geçirmesine olanak tanır. Araştırmacılar, bazı durumlarda insanların ödeme kartı numaralarını doğrudan kötü amaçlı arayüzlere girecek kadar ileri gittiğini de ekledi.
Kampanyanın Nitelikleri
BBTok, Latin Amerika’da 2020’den bu yana bir bankacılık kötü amaçlı yazılımı olarak faaliyet gösteriyor ve saldırganlar bunu ilk olarak dosyasız saldırılar yoluyla dağıtıyor. Check Point’e göre kötü amaçlı yazılımın işlevleri arasında klasik bankacılık Truva Atı özelliklerinin yanı sıra işlemleri numaralandırma ve sonlandırma, klavye ve fare kontrolü ve pano içeriklerini değiştirme yer alıyor.
Araştırmacılar, en son varyantı ve kampanyayı kısmen, kimlik avı bağlantıları aracılığıyla dağıtılan kötü amaçlı yüklere hizmet eden BBTok’un arkasındaki tehdit aktörlerinin sunucu tarafı kaynaklarını analiz ederek belirlediler. Araştırmacılar, saldırganların, kimlik avı mesajlarını alan kurbanların yalnızca Brezilya ve Meksika’da olmasını sağlamak için çok katmanlı coğrafi sınırlama (sofistike bir hedefleme ve kaçınma taktiği) kullandığını belirtti.
Aslında Check Point, araştırması sırasında, Meksika’daki bazı BBTok kötü amaçlı yazılım kurbanlarının yer aldığı ve kurban bilgilerinin yer aldığı 150’den fazla giriş içeren bir veritabanı keşfetti ve bu, aktif kalan operasyonun başarısını doğruladı.
Saldırganların Gelişmişliği Dikkatli Olmayı Gerektirir
En son BBTok varyantı ve kampanyasıyla ilgili son bulgular, tehdit aktörlerinin finansal kazanç elde etmek amacıyla bankacılık ve diğer kimlik bilgilerini çalmak için nasıl sürekli tehdit taktikleri geliştirdiklerini bir kez daha ortaya koyuyor ve kullanıcıları da daha dikkatli olmaya çağırıyor.
Check Point’e göre “Kimlik avı saldırılarının, kötü amaçlı yazılım dağıtımı, para çalma ve kimlik bilgileri hırsızlığı dahil olmak üzere çok sayıda farklı hedefi olabilir.” “Ancak, kişisel bilgilerinizi çalmak için tasarlanan kimlik avı dolandırıcılıklarının çoğu, yeterince dikkat etmeniz halinde tespit edilebilir.”
İnsanların dolandırıcılığa kurban gitmemek için bunu yapabilmelerinin temel yolları arasında, şifre sıfırlama e-postalarından her zaman şüphelenmek, bir bankacılık sitesi tarafından şifrelerini sıfırlamaları istenirse gömülü bağlantılara tıklamak yerine web sitelerini doğrudan ziyaret etmek yer alır.
Check Point ayrıca, en son BBTok kampanyasında kullanılanlara benzer siteler ve saldırganların Microsoft veya Apple gibi bilinen şirketlerin müşteri destek uzmanlarının kimliğine büründüğü dolandırıcılıklar da dahil olmak üzere, kötü niyetli aktörlerin insanları kimlik bilgilerini paylaşmaya ikna etmeye çalıştığı bazı yaygın yolları da yineledi. Araştırmacılar, kişilerin kimlik bilgilerini, kimlik bilgilerini gerektiren web sitelerine doğrudan giriş yapmak dışında asla kimseyle paylaşmamalarını tavsiye etti.
Son olarak, insanların, kimlik avı e-postasıyla ilgili ilk şüphelerini görmezden gelmelerini ve daha iyi karar vermelerine rağmen bir bağlantıya tıklamalarını veya bir eki açmalarını sağlamak için özel olarak kullanılan ortak sosyal mühendislik dilinin farkında olmalıdır.
Yaygın kimlik avı tekniklerinden bazıları arasında güvenilir markaların kimliğine bürünen sahte sipariş veya teslimat bildirimleri; Çalışanları mali açıdan dolandıracak eylemlerde bulunmaya kandırmak amacıyla bir kuruluştaki bir yöneticinin veya yetkili birinin kimliğine bürünen iş e-postası ihlali (BEC) saldırıları; veya birinin saldırganlara para aktarmasını veya kötü amaçlı bir belge aracılığıyla kötü amaçlı yazılım dağıtmasını sağlamanın bir yolu olarak ödenmemiş bir faturanın ödenmesini talep eden mesajlar.