Son zamanlarda Dark Web’de ortaya çıkan ve yalnızca mobil kötü amaçlı yazılım operatörlerine yönelik olan “InTheBox” pazarı, Resecurity Hunter ekibi tarafından ortaya çıkarıldı.
O zamandan beri kilit aktör, diğer siber suçlular için özel olarak web enjeksiyonları geliştirme hizmetleri sağlıyor. Ancak, yeterince güvenilirlik sağladıktan sonra aktör, bunu tamamen ürünleştirilmiş otomatik bir pazara ölçeklendirdi.
Rapor, otomasyonun diğer kötü niyetli aktörlerin mobil kötü amaçlı yazılım geliştirmede kullanılmak üzere en son webinject için siparişler oluşturmasına olanak tanıdığını belirtiyor.
Sonuç olarak, “InTheBox”, sıklıkla satılmaya veya kiralanmaya müsait olmayan, tescilli veya “özel” mobil kötü amaçlı yazılım kullananlar için özelleştirilmiş geliştirme çözümleri sunar.
Şu anda web enjeksiyonlarını etkinleştiren en popüler kötü amaçlı yazılım aileleri Alien, Cerberus, Ermac, Hydra, Octopus (“Octo” olarak da bilinir), Poison ve MetaDroid’dir.
Resecurity’e göre, “Başarılı kimlik bilgilerinin ele geçirilmesini kolaylaştırmak için, kötü niyetli kişiler, kötü amaçlı yazılımlarda kullanılan ve genellikle bir web tarayıcısında işlenmeden önce içeriğe HTML veya JavaScript kodu ekleyen özelleştirilmiş modüller veya paketler” olarak adlandırılan “Webinjects” kullanır.
Özellikle, gerçekte sunucu tarafından gönderilenin aksine, webinject’ler kullanıcının tarayıcısında gördüklerini değiştirebilir.
Araştırmacılar, mobil bankacılık kötü amaçlı yazılım pazarının son birkaç yılda çok olgunlaştığını ve Dark Web aktörlerinin çoğunun onu satmaktan muhtemelen kiralamaya veya özel olarak kullanmaya geçtiğini ekledi.
Web enjeksiyonları, FI’nın ne kadar sevildiğine bağlı olarak normalde her bir enjeksiyonun maliyeti 50 ila 200 ABD Doları arasındadır. Bu, mobil kötü amaçlı yazılımın kendisinden daha ucuzdur. Ayrıca, mobil uygulamanın değişmesi durumunda temel desteği ve olası özelleştirmeyi içerir.
Mobil kötü amaçlı yazılımın maliyeti değişiklik gösterir ve kiralama ve özel operasyonlardaki son değişiklikle birlikte, aylık enjeksiyon 5.000 doları geçebilir veya kötü amaçlı yazılım operatörü ile geliştiriciler arasında bölünmüş başarılı hırsızlıklardan elde edilen ödemelerle kaldıraçlı komisyona dayalı bir model kullanabilir.
“InTheBox” Darkweb Marketplace’in İçgörüleri
TOR ağında, “inthebox” olarak bilinen kötü oyuncu, yepyeni bir webinjects pazarının açılışını yaptı. Pazar, çeşitli mobil kötü amaçlı yazılım aileleri için veri hırsızlığını başarılı bir şekilde gerçekleştirmek için ayrı ayrı veya kombinasyon halinde kullanılabilen çeşitli webinject şablonları sunar.
- Şablon “Yetkilendirme verileri”
- Şablon “Yalnızca PIN isteyin”
- “Kredi Kartı verileriyle” Şablonu
- Şablon “Kredi Kartı verileri + ATM şifresi ile”
- Şablon “Tam Verileri Sor”
Siber suçlular artık “unlim” adı verilen yeni bir InTheBox tarifesi sayesinde abonelik süresi boyunca sonsuz miktarda web enjeksiyonu oluşturabilir.
Ayrıca, bu model, kötü amaçlı yazılım özelleştirmesine dahil olan süreçleri kolaylaştırarak, piyasa operatörleriyle manuel ve insan temasını azaltmayı mümkün kılar.
Ek olarak, pazarda ABD ve Birleşik Krallık şirketleri, internet hizmetleri ve finans kurumları ağırlıklı olmak üzere bölgesel bölünmeler vardır.
“Kurban başarılı bir şekilde enfekte edildikten ve kimlik bilgileri bir C2C Sunucusuna teslim edildikten sonra, mobil kötü amaçlı yazılım, operatörlerin kurbanı yönetmek için çeşitli komutlar yürütmesine ve daha fazla başarılı hırsızlık için cihazlarında eylemler gerçekleştirmesine olanak sağladı”, Resecurity
Bu nedenle, “In the Box”, iyi bilinen mobil kötü amaçlı yazılım türleri için yüksek kaliteli web enjeksiyonları sunan pazar kategorisindeki en büyük ve büyük olasılıkla tek olarak kabul edilebilir. Siber suçlular, 43 ülkede 300’den fazla finans kuruluşuna (FI), ödeme sistemlerine, sosyal medyaya ve çevrimiçi mağazalara saldırmak için “In the Box”ı kullanıyor.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin