Daha önce belgelenmemiş SambaSpy adlı kötü amaçlı yazılım, Brezilya Portekizcesi konuşan şüpheli bir tehdit aktörünün düzenlediği bir kimlik avı kampanyası yoluyla yalnızca İtalya’daki kullanıcıları hedef alıyor.
Kaspersky yeni bir analizde “Tehdit aktörleri genellikle karlarını maksimize etmek için geniş bir ağ atmaya çalışırlar, ancak bu saldırganlar yalnızca bir ülkeye odaklanmıştır,” dedi. “Saldırganların operasyonlarını diğer ülkelere genişletmeden önce İtalyan kullanıcılarla suları test ediyor olması muhtemeldir.”
Saldırının başlangıç noktası, enfeksiyon sürecini başlatan bir HTML eki veya gömülü bir bağlantı içeren bir kimlik avı e-postasıdır. HTML eki açılırsa, çok işlevli RAT yükünü dağıtmak ve başlatmak için geçici bir indirici veya damlatıcı içeren bir ZIP arşivi kullanılır.
İndirici, kendi adına, kötü amaçlı yazılımı uzak bir sunucudan almakla sorumludur. Öte yandan, damlatıcı aynı şeyi yapar, ancak yükü harici bir konumdan almak yerine arşivden çıkarır.
Tuzak bağlantısıyla oluşturulan ikinci enfeksiyon zinciri ise çok daha karmaşıktır, çünkü bu bağlantıya tıklandığında kullanıcı hedef değilse FattureInCloud’da barındırılan meşru bir faturaya yönlendirilir.
Alternatif bir senaryoda, aynı URL’ye tıklandığında kurban, Brezilya Portekizcesi yazılmış yorumlar içeren JavaScript kodlu bir HTML sayfasını sunan kötü amaçlı bir web sunucusuna yönlendiriliyor.
“Kullanıcıları kötü amaçlı bir OneDrive URL’sine yönlendiriyor ancak yalnızca dilleri İtalyanca olarak ayarlanmış Edge, Firefox veya Chrome kullanıyorlarsa,” dedi Rus siber güvenlik satıcısı. “Kullanıcılar bu kontrolleri geçemezlerse, sayfada kalırlar.”
Bu gereksinimleri karşılayan kullanıcılara, belgeyi görüntülemek için bir köprü metnine tıklamaları talimatını veren Microsoft OneDrive’da barındırılan bir PDF belgesi sunulur, ardından kullanıcılar daha önce olduğu gibi indiriciyi veya damlatıcıyı içeren MediaFire’da barındırılan kötü amaçlı bir JAR dosyasına yönlendirilir.
Java ile geliştirilen, tam özellikli bir uzaktan erişim Truva atı olan SambaSpy, dosya sistemi yönetimi, süreç yönetimi, uzak masaüstü yönetimi, dosya yükleme/indirme, web kamerası kontrolü, tuş kaydı ve pano izleme, ekran görüntüsü yakalama ve uzak kabuk işlemlerini gerçekleştirebilen bir İsviçre çakısından başka bir şey değildir.
Ayrıca, RAT tarafından daha önce indirilen diskteki bir dosyayı başlatarak çalışma zamanında ek eklentiler yüklemek için donatılmıştır ve bu sayede ihtiyaç duyulduğunda yeteneklerini artırabilir. Bunun da ötesinde, Chrome, Edge, Opera, Brave, Iridium ve Vivaldi gibi web tarayıcılarından kimlik bilgilerini çalmak için tasarlanmıştır.
Altyapı kanıtları, kampanyanın arkasındaki tehdit aktörünün Brezilya ve İspanya’ya da odaklandığını ve bunun da operasyonel bir genişlemeye işaret ettiğini gösteriyor.
Kaspersky, “Koddaki dil eserleri ve Brezilyalı kullanıcıları hedef alan etki alanları gibi Brezilya ile çeşitli bağlantılar var,” dedi. “Bu, Latin Amerika’dan gelen saldırganların genellikle yakın dillere sahip Avrupa ülkelerini, yani İtalya, İspanya ve Portekiz’i hedef alması gerçeğiyle örtüşüyor.”
Yeni BBTok ve Mekotio Kampanyaları Latin Amerika’yı Hedefliyor
Gelişme, Trend Micro’nun BBTok, Grandoreiro ve Mekotio gibi bankacılık trojanlarını gönderen ve ticari işlemleri ve yargı ile ilgili işlemleri yem olarak kullanan kimlik avı dolandırıcılıklarıyla Latin Amerika bölgesini hedef alan kampanyalarda artış olduğu uyarısında bulunmasından haftalar sonra geldi.
Şirket, Mekotio’nun “truva atının PowerShell betiğinin gizlendiği yeni bir teknik kullandığını ve bu sayede tespit edilmekten kaçınma becerisini artırdığını” belirterek, BBTok’un enfeksiyonlar için tetikleyici nokta görevi gören LNK dosyaları içeren ZIP veya ISO dosyalarını indirmek için kimlik avı bağlantıları kullandığını vurguladı.
LNK dosyası, ISO dosyasında bulunan meşru MSBuild.exe ikili dosyasını başlatarak bir sonraki adıma geçmek için kullanılır. Daha sonra, ISO arşivinde gizlenmiş kötü amaçlı bir XML dosyası yükler ve bu da rundll32.exe’yi kullanarak BBTok DLL yükünü başlatır.
Trend Micro, “Saldırganlar, meşru Windows yardımcı programı MSBuild.exe’yi kullanarak, tespit edilmekten kaçınırken kötü amaçlı kodlarını yürütebilirler” dedi.
Mekotio ile ilişkili saldırı zincirleri, tıklandığında kullanıcıyı bir PowerShell betiğini çalıştırmak üzere tasarlanmış bir toplu iş dosyası içeren bir ZIP arşivi sunan sahte bir web sitesine yönlendiren kimlik avı e-postasındaki kötü amaçlı bir URL ile başlıyor.
PowerShell betiği, AutoHotKey betiği aracılığıyla trojan’ı başlatmak için ikinci aşama indiricisi gibi davranır; ancak bunu yapmadan önce kurban ortamında keşif yaparak trojan’ın hedef ülkelerden birinde bulunduğunu doğrulamak gerekir.
Trend Micro araştırmacıları, “Latin Amerikalı kullanıcıları hedef alan ve hassas bankacılık bilgilerini çalmak ve yetkisiz bankacılık işlemleri gerçekleştirmek isteyen daha gelişmiş kimlik avı dolandırıcılıkları, siber suçlular tarafından giderek daha gelişmiş yöntemlere karşı artırılmış siber güvenlik önlemlerine acil ihtiyaç olduğunu gösteriyor” dedi.
“Bu Truva atları [have] “Tespit edilmekten kaçınma ve hassas bilgileri çalma konusunda giderek daha yetenekli hale gelirken, arkalarındaki çeteler daha fazla kar elde etmek için daha büyük grupları hedef alma konusunda daha cesur hale geliyor.”