DCRAT, bankacılık kimlik bilgilerini çalmak için Latin Amerikalı kullanıcıları hedefliyor


IBM X-Force, muhtemelen Güney Amerika’dan kaynaklanan finansal olarak motive olmuş bir tehdit grubu olan HIVE0131 tarafından düzenlenen bir dizi hedeflenen e-posta kampanyasını ortaya çıkardı.

Mayıs 2025’in başlarında gözlemlenen bu kampanyalar, Kolombiya’da, özellikle Bogota Sivil Devresi’nden resmi bildirimler olarak maskelenen Kolombiya’daki kullanıcıları hedefliyor.

Saldırılar, en az 2024’ten beri bölgede uygun fiyat ve yaygın kullanımıyla bilinen bir Hizmet Olarak Kötü Yazılım (MAAS) aracı olan kötü şöhretli bankacılık Trojan DCRAT’ı sunmayı amaçlamaktadır.

– Reklamcılık –
Google Haberleri

İki aylık bir abonelik için sadece 7 USD olarak fiyatlandırılan ve 2018’den beri Rus siber suç forumlarında ağır bir şekilde pazarlanan DCRAT, hassas bankacılık kimlik bilgilerini ve diğer kişisel bilgileri çalmak için bir silah haline geldi.

Bankacılık kimlik bilgileri
Rama enfeksiyon zinciri

HIVE0131’in Kolombiya’daki en son kimlik avı kampanyası

HIVE0131 tarafından kullanılan enfeksiyon zincirleri, sofistike ve çeşitlidir, şüphesiz kurbanları kötü niyetli yükler yürütmeye zorlarken tespitten kaçınmak için tasarlanmıştır.

Bir yöntem, gömülü Tinyurl bağlantıları içeren PDF ekleri içeren kimlik avı içerir.

Tıklandığında, bu bağlantılar, macundan ek yükleri getiren kötü amaçlı bir JavaScript dosyasını barındıran bir zip arşivine yönlendirir[.]EE Siteleri.

Bu sonunda, DCRAT’ı doğrudan belleğe dağıtan VMDetectLoader adlı Base64 kodlu bir yükleyici ile gizlenmiş bir JPG dosyasını indirmek için bir PowerShell komutu yürütür.

Başka bir vektör, toplu dosya indiricileri içeren şifre korumalı zip dosyalarına yol açan gömülü Google Dokümanlar bağlantılarına sahip e-postalar kullanır.

Bankacılık kimlik bilgileri
Google Dokümanlar Bağlantısı ile Örnek E -posta

Bu indiriciler, Truva atını yürüterek aynı VMDetectLoader’da doruğa ulaşarak gizlenmiş VBScripts ve PowerShell komut dosyalarını alırlar.

Açık kaynaklı VMDetector projesi üzerine inşa edilen VMDetectLoader, sanal makineleri ve kum havuzu ortamlarını tespit etmek için anti-analiz özelliklerini içerir ve sadece gerçek kurban sistemlerinde çalışmasını sağlar.

DCRAT’ın kendisi, Windows’un antimal yazılım tarama arayüzünü (AMSI) atlamayı, blok listelenen süreçleri öldürmeyi ve planlanan görevler veya kayıt defteri anahtarları aracılığıyla kalıcılık oluşturmayı içeren yeteneklere sahip zorlu bir tehdittir.

Eklentileri, keyloglama, pano veri hırsızlığı, dosya şifrelemesi ve hatta kurbanları mikrofonları veya kameraları aracılığıyla kaydetme gibi kapsamlı kötü amaçlı etkinlikler sağlar.

Dağıtım yapıldıktan sonra, talimatlar almak için bir komut ve kontrol (C2) sunucusuna bağlanır ve genellikle finansal kazanç için bankacılık kimlik bilgilerini hedefler.

IBM X-Force, HIVE0131’in tipik olarak Quasarrat ve NJrat gibi diğer kötü amaçlı yazılımları konuşlandırmasına rağmen, son kampanyalarda DCRAT’a geçişin, Phishing’in yaygın bir saldırı vektörü olarak kaldığı Latin Amerika’da gelişen bir tehdit manzarasına işaret ettiğini belirtiyor.

Bölgedeki kuruluşların, e -postaları bağlantılar veya eklerle inceleyerek, süreç enjeksiyon belirtileri veya yetkisiz planlanmış görevler izleyerek ve bu tür tehditleri azaltmak için sağlam uç nokta güvenlik konfigürasyonlarının sağlanmasıyla savunmalarını desteklemeleri istenir.

Uzlaşma Göstergeleri (IOCS)

GöstergeGösterge TürüBağlam
4ce1d456fa8831733k01c4a2a32044b6581664d311b8791bb2efaa2a1d01f17SHA256Taşıyıcı dosyası
1603c606d62e7794da09c51ca7f321bb550449165b4fe81153020021cbce140SHA256Dcrat
0df13fd42fb4a4374981474ea87895a3830edddc7f3bd494e766cd60c4004f7SHA256Gizlenmiş .NET yükleyici
hxxps: // tinyurl[.]com/2ypy4jrz? id = 5541213d-0ed8-4516-82e7-5460d4ebafaf3bUrlGömülü PDF bağlantısı
hxxps: // arşiv[.]org/indir/new_abbas/new_abbas.jpgUrlJPG İndir URL

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link