Bilgisayar Korsanları 50.000’den Fazla Kullanıcının Bankacılık Bilgilerini Ele Geçirdi

   Aralık 20, 2023  Posted in GBHackers


Web enjeksiyonları, içeriği değiştirmek veya kullanıcıları sahte sitelere yönlendirmek için web sitelerine kötü amaçlı kod enjekte etmeyi içerir.

Tehdit aktörleri bu tekniği aşağıdakiler gibi hassas bilgileri çalmak için kullanır: –

  • Giriş kimlik
  • Finansal Veri
  • Web uygulamalarındaki güvenlik açıklarından yararlanın

Security Intelligence’daki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının web enjeksiyon saldırıları kullanarak 50.000’den fazla kullanıcının bankacılık bilgilerini ele geçirdiğini tespit etti.

Bankacılık truva atları, siber dünyayı tehdit etmek için web enjeksiyonlarını kullanıyor ve IBM Security Trusteer, Mart 2023’te sinsi bir JavaScript kampanyası buluyor.

Bu kötü amaçlı kampanyada, kötü amaçlı yazılımın DanaBot ile bağlantısı doğrulanmadı; ancak 2023’ten bu yana aşağıdaki ülkelerde 40’tan fazla bankada 50.000’den fazla kullanıcı oturumu gerçekleştirildi:-

  • Kuzey Amerika
  • Güney Amerika
  • Avrupa
  • Japonya

Hackerlar Bankacılık Bilgilerini Ele Geçirdi

Bu yeni tehdit kampanyası, popüler bankacılık uygulamalarını ele geçirmeyi amaçlıyor ve Aralık 2022’de satın alınan kötü amaçlı alan adları, 2023’ün başından beri aktif.

Bu arada, JS betiği belirli sayfa yapılarını hedefler ve belirli koşullar karşılandığında içeriği enjekte eder.

Bunun yanı sıra, kimlik bilgisi hırsızlığı, giriş düğmesine eklenen olay dinleyicileri aracılığıyla yapılır. Tehdit aktörleri kullanıcı bankacılığı bilgilerini tehlikeye atmayı ve bu bilgilerden para kazanmayı hedeflediğinden, aynı zamanda ortak banka düzenlerine de odaklanıyor.

Kötü amaçlı yazılım, komut dosyası getirilir getirilmez verileri ele geçirmeye başlar. Bot kimliği ve yapılandırma bayrakları gibi ayrıntıları sorgu parametreleri olarak eklemek için genellikle bilgisayarın adını kullanır.

Bu, tarayıcıya yerleştirmeden önce diğer kötü amaçlı yazılım bileşenlerinin işletim sistemi düzeyinde bulaştığını gösterir.

Komut dosyasını getiren ilk karışık GET isteği
Komut dosyasını getiren ilk gizlenmiş GET isteği (Kaynak – Güvenlik İstihbaratı)

Kodlanmış komut dosyası gizlenir ve eklenen bir tuzak dizeyle tek bir satır olarak döndürülür. Bu arada, kötü amaçlı içerik meşru bir CDN’ye benzer şekilde ağ trafiğinde gizlenir.

Enjeksiyon, sayfa URL’sinde “adrum” varsa çalışmayı önler ve işlev yaması, varlığını gizlemek için kötü amaçlı yazılım kanıtlarını kaldırır.

Dinamik komut dosyası, C2 sunucusuyla iletişim kurar ve aşağıdaki iki temel öğeye göre eylemleri ayarlar: –

  • Alınan talimatlar
  • Günlük güncellemeleri

Esnek enjeksiyon sabırla bekler, adımları yeniden dener ve sunucu yanıtlarına göre uyum sağlar. Sürekli sunucu-cihaz tanımlaması yürütme sürekliliğini sağlar.

Komut dosyası, anonim bir işlev içinde, varsayılan değerlerle yapılandırılır ve çalışma zamanı sırasında dinamik olarak ayarlanır. Sunucu yanıtları tarafından tetiklenen eşzamansız eylemler betiği gizler.

Operasyonel durumlar aşağıdaki gibi eylemleri belirlerken: –

  • İstemleri enjekte etme
  • Oturum açma denemeleri gerçekleştiriliyor
İki faktörlü kimlik doğrulama için telefon numarası isteme
İki faktörlü kimlik doğrulama için telefon numarası isteme (Kaynak – Güvenlik İstihbaratı)

Öneriler

Aşağıda, güvenlik analistlerinin sunduğu tüm önerilerden bahsettik: –

  • Dikkatli olun
  • Şüpheli etkinliği bildir
  • Bilinmeyen yazılımlardan kaçının
  • Şifre ve e-posta güvenliğiyle ilgili en iyi uygulamaları takip edin
  • Daima tetikte olun
  • Sağlam güvenlik uygulayın
  • Ortaya çıkan tehditlere karşı koymak için bilgi sahibi olun



Source link