X-Force, Mart 2024’ten bu yana Latin Amerikalı kullanıcıları hedef alan, e-postaların vergi ve kamu hizmetleri gibi meşru kuruluşların kimliğine büründüğü ve alıcıları faturalar veya hesap özetleri için bağlantıları tıklamaya teşvik eden bir kimlik avı kampanyası tespit etti.
Bağlantıya tıklamak, belirli ülkelerdeki kullanıcıları sahte bir PDF simgesine yönlendirirken, PDF olarak gizlenmiş yürütülebilir bir dosya içeren kötü amaçlı bir ZIP arşivini indiriyor; bu, aciliyetten yararlanıyor ve kullanıcıları sistemlerini tehlikeye atmaları için kandırmak için resmi kurumlara olan güveni suiistimal ediyor.
Kimlik avı kampanyası ilk kez Latin Amerika dışındaki kullanıcıları hedef alıyor. E-postalar, Güney Afrika Gelir İdaresi (SARS) gibi vergi makamlarının kimliğine bürünüyor ve Latin Amerika’daki geçmiş Grandoreiro kampanyalarında kullanılan tanıdık taktiklerden yararlanıyor.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın
İngilizce veya İspanyolca yazılan bu e-postalarda vergi numarası ve indirilebilir bir fatura yer alır.
Sağlanan PDF veya XML bağlantısına tıklamak, vergi belgesi kılığına girmiş bir Grandoreiro yükleyicisini içeren bir ZIP arşivi indirme işlemini tetikler (örneğin, “SARS 35183372 eFiling 32900947.exe”).
.webp)
Çok bileşenli bir bankacılık truva atının ilk aşaması olan Grandoreiro yükleyicisi, işlevselliğini korumak için üç adımlı özel bir şifre çözme işleminden yararlanıyor. İlk olarak, sabit kodlanmış, üçlü Base64 kodlu formundan bir anahtar dizesi çıkarır.
.webp)
Daha sonra, şifrelenmiş dizeleri, anahtar dizisiyle birlikte orijinal Grandoreiro şifre çözme algoritmasına beslemeden önce özel bir onaltılık kodlama şeması kullanarak dönüştürür.
Son olarak, yükleyici, son düz metin dizelerini almak için başka bir şifresi çözülmüş anahtar kümesini kullanarak AES-CBC şifre çözme ve açma işlemini gerçekleştirir.
.webp)
Grandoreiro kötü amaçlı yazılımı, bilgisayar adı, işletim sistemi sürümü ve çalışan işlemler gibi verileri toplayarak kurbanın ortamını doğrular ve ardından bunu bir kara listeye göre kontrol eder; ayrıca ABD’deki belirli ülkelerden ve antivirüs içermeyen Windows 7 makinelerinden de kaçınır.
Daha sonra, C2 sunucusuna şifrelenmiş olarak gönderilen konum verileri, yüklü yazılımlar (örneğin anti-virüs, kripto cüzdanları) ve donanım ayrıntıları (örneğin monitörler) dahil olmak üzere C2 sunucusu için bir kurban profili oluşturur.
Grandoreiro yükleyici, belirli bir algoritma kullanarak C2 sunucu adresinin şifresini çözer, IP adresini almak için HTTPS üzerinden DNS’yi kullanır ve ardından son veri yükü için C2 sunucusuna şifrelenmiş bir mesajla bir HTTP GET isteği gönderir.
Yükleyici, veri indirme URL’sini ve diğer bilgileri aldıktan sonra yükü indirir, bir anahtarla şifresini çözer ve sıkıştırmasını açar.
.webp)
Belirli ayrıcalıkları kontrol eder ve Grandoreiro bankacılık truva atını ayrıcalık yükseltmeyle veya yükseltme olmadan çalıştırır.
Süreç boyunca yükleyici C2 sunucusuyla iletişim kurarak başarı veya hata mesajlarını bildirir.
Bir kayıt defteri çalıştırma anahtarı oluşturup, yapılandırmasını şifrelenmiş bir .CFG dosyasında saklayarak kalıcılık sağlıyor ve kurbanın ülkesini belirleyip bölgeye özel saldırılar başlatarak dünya çapında 1500’den fazla bankayı hedefliyor.
.webp)
Kötü amaçlı yazılım, önceden tanımlanmış dizelere göre hedeflenen bankacılık uygulamalarını ve kripto para birimi cüzdanlarını arar ve yapılandırma dosyası eksikse Grandoreiro, varsayılan değerlere sahip yeni bir tane oluşturur.
Grandoreiro, C2 sunucu adreslerini hesaplamak için birden fazla tohum içeren Etki Alanı Oluşturma Algoritmasını (DGA) kullanan bir bankacılık truva atıdır.
DGA, geçerli tarihi, bir tohum dizesini ve özel bir karakter eşlemesini birleştirerek ana C2 sunucusu ve işleve özgü C2 sunucuları için farklı alt alanlar oluşturur.
Security Intelligence’a göre kötü amaçlı yazılım, uzaktan kontrol, dosya aktarımı ve web’de gezinme gibi çeşitli eylemleri gerçekleştirebiliyor. Ayrıca web sayfalarındaki tıklamaları simüle ederek bankacılık bilgilerini de çalabilir.
.webp)
Grandoreiro, çok sayıda dizesi için katmanlı bir şifre çözme işlemi kullanıyor; önce anahtarı “A” anahtarıyla özel bir yöntem kullanarak çıkarıyor, ardından şifrelenmiş dizenin kodunu çözüyor ve anahtarın şifreli bir versiyonunu kullanarak AES-ECB ile şifresini çözüyor.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın