Bankacılık saldırılarında tehdit aktörleri, hedeflenen kullanıcıların çevrimiçi bankacılık kimlik bilgilerini çalmak için NodeJS’den aktif olarak yararlanıyor. Tehdit aktörleri, bir bankanın web sitesinin giriş sayfasını değiştirmek için JavaScript web enjeksiyonlarını kullanıyor.
Bu gizli değişiklik, tehdit aktörlerinin kimlik bilgilerini ve tek seferlik şifreleri toplamasına olanak tanır. Bu aynı zamanda güvenlik korumalarını atlamalarına ve kullanıcı hesaplarına yetkisiz erişim sağlamalarına da olanak tanır.
Kaspersky Labs’taki siber güvenlik analistleri yakın zamanda 60’tan fazla bankanın kullanıcılarına saldırmak için NodeJS’den yararlanan Coyote kötü amaçlı yazılımını keşfetti.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Coyote Kötü Amaçlı Yazılım NodeJS’den Yararlanıyor
Bankacılık Truva atı geliştiricileri kötü amaçlı yazılım dağıtma konusunda yenilik yapıyor. Yakın zamanda keşfedilen “Coyote” kötü amaçlı yazılımı, benzersiz bir enfeksiyon zinciriyle 60’tan fazla Brezilya bankasını hedef alıyor.
Squirrel yükleyicisini, kendisini bilinen Truva atı enfeksiyonlarından ayıran yeni ortaya çıkan bir platformlar arası dil olan NodeJS ve Nim programlama dilini bir yükleyici olarak kullanarak dağıtır.
Bankacılık Truva Atları, ilk bulaşmalar için genellikle Delphi veya MSI yükleyicilerini kullanır, ancak Coyote, daha yeni bir Windows uygulaması yükleme aracı olan Squirrel’ı benimseyerek kalıbı kırar.
Squirrel, NuGet paketlerini kullanarak kurulumu ve güncellemeleri basitleştirerek paket yönetimine aşina olanların bile erişebilmesini sağlar.
Coyote, Squirrel’ı güncelleme paketleyicisi olarak kullanarak yükleyicisini akıllıca gizler. Squirrel, yürütülebilir dosyaları kullanıcının klasörüne kopyalamak için gizlenmiş JavaScript’i çalıştırarak Electron’da bir NodeJS uygulamasını tetikler.
Chrome ve OBS Studio ile ilişkili imzalı uygulama, bankacıyı libcef.dll kütüphanesindeki DLL yan yüklemesi yoluyla yükler.
Coyote, bir .NET yürütülebilir dosyasını açar ve bunu Donut’un işlemine benzeyen bellekte çalıştırır. Obs-browser-page.exe, yeniden başlatmalarda kalıcılığı sağlar.
Coyote, kod gizleme olmadan AES şifreli dize gizlemeyi kullanır ve kalıcılık için özel bir IV ve Windows oturum açma komut dosyalarını kullanarak dizelerin şifresini çözer.
Bir bankacılık uygulaması çalıştığında Coyote, C2 ile iletişim kurar ve yanıtları aldıktan sonra tuş kaydı ve ekran görüntüleri gerçekleştirir.
Trojan, saldırganın sunucusundaki şifrelenmiş bir sertifikanın şifresini çözerek karşılıklı kimlik doğrulama ile SSL iletişimi kurar. Doğrulamanın ardından toplanan bilgileri sunucuya gönderir.
Aşağıda aktarılan tüm bilgilerden bahsettik: –
- Makine adı
- Rastgele oluşturulan GUID
- Kullanılan bankacılık uygulamaları
Coyote, Delphi gibi eski dillerden farklı olan Node.js, .NET ve Nim gibi modern teknolojileri kullanarak Brezilya bankacılık Truva atlarında bir değişimi temsil ediyor.
Bu evrim, tehdit ortamındaki giderek artan karmaşıklığın altını çiziyor; enfeksiyonların %90’a kadarı Brezilya’dan geliyor ve tehdit aktörlerinin en yeni dillere ve araçlara uyum sağladığını gösteriyor.
IoC’ler
Ana bilgisayar tabanlı (MD5 karması):
- 03 eacccb664d517772a33255dff96020
- 071b6efd6d3ace1ad23ee0d6d3ead76
- 276f14d432601003b6bf0caa8cd82fec
- 5134e6925ff1397fdda0f3b48afec87b
- bf9c9cc94056bcdae6e579e724e8dbbd
C2 alan adı listesi:
- cevap çözüm[.]iletişim
- servisasso[.]iletişim
- alt finans[.]iletişim
- merkezisolucao[.]iletişim
- tedavi edilebilir[.]iletişim
- diadaacaodegraca[.]iletişim
- güvenlikcasys[.]iletişim
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.