Araştırmacılar, Brezilyalı bilgisayar korsanlarının en az 30 Portekiz finans kurumuna yönelik saldırılarında PeepingTitle kötü amaçlı yazılımını kullandığını fark ettiler.
SentinelLabs’in son raporuna göre, 30’dan fazla Portekiz bankası Brezilya’da bulunan siber suçlular tarafından yapılan hedefli bilgisayar korsanlığının kurbanı oldu. Bu kurumlar, 2021’de başlatılan ancak 2023’ün başlarında aktif hale gelen, mali amaçlı gibi görünen bir kampanyada hedef alındı.
SentinelOne araştırmacıları Tom Hegel ve Aleksandar Milenkoski, saldırıların çoğunun geçen ay meydana geldiğini ve ana hedeflerin Portekiz’deki finans kurumları olduğunu yazdı.
Bildirildiğine göre bilgisayar korsanları, kimlik bilgilerini ve kişisel bilgiler de dahil olmak üzere kullanıcı verilerini ele geçirmek için bilgi çalan kötü amaçlı yazılım yerleştiriyor ve bunu finansal kazançların yanı sıra kötü niyetli faaliyetler için kullanıyor.
Bir blog gönderisinde SentinelOne, Magalenha Operasyonu adlı kampanyayı 2022’nin başlarında izlemeye başladığını belirtti. Araştırmacılar, izinsiz girişlerin, saldırı potansiyelini büyük ölçüde artıran PeepingTitle arka kapısının iki varyantının konuşlandırılmasına yol açtığını belirtti.
Saldırı, kimlik avı e-postaları ve popüler yazılımların sahte yükleyicilerini barındıran web siteleri ile başlar. Bir cihaza indirildikten sonra, kötü amaçlı yazılım yükleyiciyi yürüten bir Visual Basic Komut Dosyası başlatır. Bu yükleyici daha sonra PeepingTitle arka kapılarını indirir/yürütür. Arka kapı, kullanıcıların web tarama etkinliklerini izlemeye başlar.
Arka kapı, bir kullanıcı bir finans kuruluşunun web sitesine eriştiğinde veya hesabında oturum açtığında hızlı bir şekilde ekran görüntüleri yakalar. Yeni kötü amaçlı yürütülebilir dosyaları başlatmak için saldırganın uzak sunucusuna bağlanır.
Araştırmacılar, “Tüm ekranı yakalayan ilk PeepingTitle varyantı ve kullanıcının etkileşimde bulunduğu her pencereyi yakalayan ikincisi ile bu kötü amaçlı yazılım ikilisi, tehdit aktörüne kullanıcı etkinliği hakkında ayrıntılı bir içgörü sağlıyor” dedi.
Bu kampanya başlangıçta Dropbox ve DigitalOcean gibi bulut hizmeti sağlayıcılarından yararlandı. Ancak bu platformlar güvenlik uygulamalarını sıkılaştırdıkça bilgisayar korsanları yön değiştirmek zorunda kaldı. Bilgisayar korsanları artık Rus web barındırma hizmetleri sağlayıcısı TimeWeb’e güveniyor.
Her iki arka kapı da aynı anda konuşlandırılarak bilgisayar korsanlarına güvenliği ihlal edilmiş cihazlar üzerinde olağanüstü kontrol sağlar. Saldırganlar, PeepingTitle aracılığıyla pencere etkileşimlerini izleyebilir, sistem işlemlerini sonlandırabilir, ekran görüntüleri yakalayabilir ve veri sızdırma araçlarını ve diğer kötü amaçlı yazılımları dağıtabilir.
Magalenha Operasyonu, Brezilyalı bilgisayar korsanlarının ısrarcı doğasına ve kampanyalarının gelişen özelliğine işaret ediyor. Araştırmacılar, Brezilyalı grupların kötü amaçlı yazılım araçlarını ve taktiklerini sürekli olarak güncellediklerini ve bu nedenle kampanyalarının bu kadar etkili olduğunu yazdı.
Ayrıca araştırmacılar, saldırganların yerel finans kurumları hakkında hatırı sayılır bir anlayış sergilediklerine ve hedefli kampanyalar geliştirmek için kaynak ve zaman ayırmaya hazır olduklarına inanıyor.
Araştırmacıların bunun Brezilyalı bilgisayar korsanlarının işi olduğunu nasıl belirledikleri ile ilgili olarak Hegel ve Milenkoski, saldırganların tespit ettikleri eserlerde Brezilya-Portekizce dilini kullandıklarını yazdı.
Ayrıca, kötü amaçlı yazılım kaynak kodu, ilk olarak 2021’de keşfedilen Maxtrilha bankacılık truva atı ile benzerlikler paylaşıyor. Delphi programlama dilinde yazılmış ve bilgisayar korsanlarına virüslü ana bilgisayarlar üzerinde tam kontrol sağlıyor, ekran görüntüleri alıyor ve yeni yükler bırakıyor.
İLGİLİ MAKALELER
- Fidye Yazılım Çetesi Medibank Verilerini Dark Web’e Sızdırdı
- Portekiz silahlı kuvvetlerine yönelik siber saldırıda NATO verileri çalındı
- DDoS Saldırıları Danimarka Merkez Bankası ve 7 Özel Bankayı Vurdu
- Hacker, Hindistan HDFC banka şubesinden 73 milyon kaydı sızdırdı
- Ukrayna Bilişim Ordusu, Rus bankacılık devini DDoS saldırısıyla vurdu