Önemli bir güvenlik ihlali, dünya çapında 700’den fazla finansal uygulamayı hedefleyen sofistike bir bankacılık Truva atı olan ERMAC V3.0’ın tam kaynak kodunu ortaya çıkardı.
Mart 2024’te siber güvenlik firması Hunt.io tarafından keşfedilen sızıntı, şaşırtıcı derecede zayıf bir varsayılan şifre: “ChangEmePlease” ile mümkün oldu.
Keşif, Hunt.io araştırmacıları, ERMAC V3.0 kaynak kodu arşivinin tamamını içeren bir açık dizin belirlediğinde gerçekleşti.
Hizmet olarak aktif bir kötü amaçlı yazılım platformunun bu nadiren maruz kalması, şu anda vahşi doğada faaliyet gösteren en gelişmiş mobil bankacılık Truva atlarından biri hakkında benzeri görülmemiş bir fikir vermektedir.
ERMAC, kuruluşundan bu yana önemli bir evrim geçirmiştir. İlk sürümler sızdırılmış Cerberus kaynak kodu kullanılarak oluşturulurken, sürüm 2.0, 2023 yılının sonlarına kadar Hook Botnet kod tabanının önemli bölümlerini dahil etti.
Yeni ortaya çıkan sürüm 3.0, kötü amaçlı yazılımların 700’den fazla bankacılık, alışveriş ve kripto para birimi uygulamalarını sofistike form enjeksiyon teknikleri aracılığıyla hedefleme yeteneklerini genişleten büyük bir ilerlemeyi temsil ediyor.
Sızan kaynak kodu, beş ana bileşenden oluşan kapsamlı bir kötü amaçlı yazılım ekosistemi ortaya çıkardı: bir PHP ve Laravel tabanlı arka uç, reakt tabanlı bir ön uç paneli, Golang exfiltration sunucusu, docker yapılandırma dosyaları ve özelleştirilmiş kötü amaçlı yazılım varyantları oluşturmak için bir Android Builder paneli.
Kritik güvenlik açıkları
Kaynak kodunun analizi, ERMAC işlemlerini bozmak için kullanılabilecek çoklu kritik güvenlik kusurlarını ortaya çıkardı.
Bunlar, “ChangeMeMePlease” şifresini kullanarak sert kodlanmış bir JWT gizli jetonu, statik yönetici taşıyıcı jetonu ve en önemlisi varsayılan kök kimlik bilgilerini içerir. Ek olarak, sistem doğrudan API aracılığıyla açık hesap kaydına izin verir ve potansiyel olarak yönetici paneline yetkisiz erişim sağlar.
Gelişmiş arama özelliklerini kullanarak, Hunt.io araştırmacıları hala çevrimiçi çalışan birden fazla aktif ERMAC altyapı bileşeni belirledi.
Araştırmada, farklı kimlik doğrulama üstbilgisi “Giriş | Ermac” ı kullanarak dört benzersiz komut ve kontrol sunucusu ve dört eksfiltrasyon sunucusu ortaya çıktı.
Kötü amaçlı yazılım, AES-CBC şifrelenmiş iletişim ve bağımsız devlet ülkelerinin toplumunda yürütmeyi önleyen coğrafi kısıtlamalar dahil olmak üzere gelişmiş operasyonel güvenlik önlemleri göstermektedir.
Kurulumdan önce ERMAC, bir emülatör ortamında çalışmadığını doğrular ve SMS erişimi, arka plan çalışması ve işlem sonlandırma özellikleri için kapsamlı cihaz izinleri talep eder.
Bu kaynak kodu sızıntısı, siber güvenlik profesyonellerine ERMAC kampanyalarına karşı karşı önlemler geliştirmek için değerli zeka sağlar. Maruz kalan altyapı detayları ve operasyonel güvenlik açıkları, devam eden kötü niyetli faaliyetleri bozma ve potansiyel kurbanları korumak için somut fırsatlar sunar.
ERMAC V3.0 sızıntısı, mobil bankacılık truva atlarının sürekli evriminin altını çiziyor ve siber suçlular arasında bile zayıf güvenlik uygulamalarının güvenlik araştırmacılarına ve kolluk kuvvetlerine sofistike kötü amaçlı operasyonları nasıl ortaya koyabileceğini vurguluyor.
AWS Security Services: 10-Point Executive Checklist - Download for Free