Windows tabanlı saldırıların arkasındaki tehdit aktörleri Grandoreiro Bankacılık truva atı, Ocak ayında emniyet teşkilatının kaldırmasının ardından Mart 2024’ten bu yana küresel bir kampanyayla geri döndü.
Muhtemelen diğer siber suçlular tarafından hizmet olarak kötü amaçlı yazılım (MaaS) modeli aracılığıyla kolaylaştırılan büyük ölçekli kimlik avı saldırıları, Orta ve Güney Amerika, Afrika, Avrupa ve Avrupa’da 60’tan fazla ülkeyi kapsayan dünya çapında 1.500’den fazla bankayı hedefliyor. IBM X-Force, Hint-Pasifik’te olduğunu söyledi.
Grandoreiro öncelikle Latin Amerika, İspanya ve Portekiz’e odaklanmasıyla bilinse de, genişlemenin Brezilyalı yetkililerin altyapısını kapatma girişimlerinden sonra bir strateji değişikliği olması muhtemel.
Daha geniş hedefleme alanıyla el ele gitmek, kötü amaçlı yazılımın kendisinde yapılan önemli iyileştirmelerdir ve bu da aktif gelişmeyi gösterir.
Güvenlik araştırmacıları Golo Mühr ve Melissa Frydrych, “Kötü amaçlı yazılımın analizi, dize şifre çözme ve etki alanı oluşturma algoritmasında (DGA) önemli güncellemelerin yanı sıra, virüslü ana bilgisayarlarda Microsoft Outlook istemcilerini daha fazla kimlik avı e-postası yaymak için kullanma yeteneğini ortaya çıkardı.” dedi.
Saldırılar, yemlerin niteliğine ve mesajlarda kimliğine bürünülen devlet kurumuna bağlı olarak, alıcılara bir faturayı görüntülemek veya ödeme yapmak için bir bağlantıya tıklamaları talimatını veren kimlik avı e-postalarıyla başlıyor.
Bağlantıyı tıklayan kullanıcılar bir PDF simgesinin görüntüsüne yönlendirilir ve sonuçta Grandoreiro yükleyicinin çalıştırılabilir olduğu bir ZIP arşivinin indirilmesi sağlanır.
Özel yükleyici, kötü amaçlı yazılımdan koruma tarama yazılımını atlamak için yapay olarak 100 MB’ın üzerine çıkarılmıştır. Ayrıca, ele geçirilen ana bilgisayarın korumalı alanda olmamasını sağlamaktan, temel kurban verilerini bir komuta ve kontrol (C2) sunucusunda toplamaktan ve ana bankacılık truva atını indirip yürütmekten de sorumludur.
Doğrulama adımının coğrafi olarak Rusya, Çekya, Polonya ve Hollanda’da bulunan sistemlerin yanı sıra ABD merkezli, antivirüs yüklü olmayan Windows 7 makinelerini atlamak için de yapıldığını belirtmekte fayda var.
Truva atı bileşeni, Windows Kayıt Defteri aracılığıyla kalıcılık oluşturarak yürütülmeye başlıyor, ardından daha fazla talimat almak üzere bir C2 sunucusuyla bağlantılar kurmak için yeniden işlenmiş bir DGA kullanıyor.
Grandoreiro, tehdit aktörlerinin sistemi uzaktan kontrol etmesine, dosya işlemlerini yürütmesine ve Microsoft Outlook verilerini toplayan ve diğer hedeflere spam mesajları göndermek için kurbanın e-posta hesabını kötüye kullanan yeni bir modül de dahil olmak üzere özel modları etkinleştirmesine olanak tanıyan çeşitli komutları destekliyor.
Araştırmacılar, “Yerel Outlook istemcisiyle etkileşim kurmak için Grandoreiro, Outlook eklentilerini geliştirmek için kullanılan bir yazılım olan Outlook Güvenlik Yöneticisi aracını kullanıyor” dedi. “Bunun arkasındaki ana neden, Outlook Object Model Guard’ın korunan nesnelere erişim tespit etmesi durumunda güvenlik uyarılarını tetiklemesidir.”
“Grandoreiro, spam göndermek için yerel Outlook istemcisini kullanarak, virüslü kurbanların gelen kutularına e-posta yoluyla yayılabilir; bu da muhtemelen Grandoreiro’da gözlemlenen büyük miktardaki spam hacmine katkıda bulunur.”