Sahte bir e-mağaza dolandırıcılığı kampanyası, CRIL'in Eylül 2022'de kampanyanın Malezya'dan Vietnam ve Myanmar'a yayılmasıyla birlikte faaliyetlerde bir artış gözlemlemesi nedeniyle 2021'den beri Güneydoğu Asya'yı hedef alıyor.
Saldırganlar, SMS yoluyla kullanıcı kimlik bilgilerini çalan ve artık ekran görüntüleri alabilen ve kurbanın cihazındaki erişilebilirlik hizmetlerinden yararlanabilen, saldırganlara daha fazla kontrol sağlayan kötü amaçlı bir APK (Android uygulama paketi) dağıtmak için kimlik avı web sitelerini kullanıyor.
Siber suçlular, 2021'den bu yana Malezya'da sosyal medyada temizlik hizmetlerini taklit ederek ve kurbanları kendileriyle WhatsApp aracılığıyla iletişime geçmeleri için kandırarak sahte bir e-mağaza kampanyası başlatıyor.
Kullanıcıların kimlik avı web siteleri aracılığıyla kötü amaçlı APK'lar indirmesine yol açtı.
Kötü amaçlı yazılım, özellikle Hong Leong, CIMB, Maybank ve diğerleri de dahil olmak üzere Malezya bankalarının oturum açma kimlik bilgilerini hedef alarak, bankacılık bilgilerini çalmaya yönelik kimlik avı saldırılarıyla birlikte sosyal mühendislik taktiklerinin giderek artan bir eğilim gösterdiğini ortaya koydu.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Cyble tarafından gözlemlenen sahte bir e-mağaza kampanyası, saldırganların kötü amaçlı yazılım dağıtmak için meşru ödeme ağ geçitleri olarak gizlenen kimlik avı web sitelerini kullandığı Güneydoğu Asya'daki faaliyetlerini genişletiyor.
Kötü amaçlı yazılım daha sonra banka kimlik bilgilerini çalmak için tasarlanmış sahte giriş sayfaları sunar; Vietnam'da kampanya, bankanın çevrimiçi portalını taklit eden bir web sitesiyle HD Bank müşterilerini hedef aldı.
Kötü niyetli operasyonu yönetmek için bir komuta ve kontrol sunucusu da kullandılar; Myanmar'da olduğu gibi, kampanya benzer bir taktik kullandı ancak farklı bankaları hedef aldı ve Burma dilinde bir kimlik avı sayfası kullandı.
Malezyalı çevrimiçi alışveriş yapanları hedef alan yeni bir kimlik avı sitesi dalgası, karmaşıklıktan yoksun, yalnızca temel özellikler ve sahte iOS indirme düğmeleri sunan meşru e-ticaret platformlarını taklit ederek tespit edildi.
Dolandırıcılığın arkasındaki kötü amaçlı yazılım da güncellendi ve kullanıcı verilerini çalmak için ekran paylaşımı ve erişilebilirlik hizmetlerinden yararlanma gibi özellikler eklendi.
En son sürüm 18 Malezya bankasını hedefliyor ve biri kimlik avı ve kontrol, diğeri ekran paylaşımı için olmak üzere iki URL kullanıyor.
Teknik detaylar:
eCart kötü amaçlı yazılımı kendisini bir alışveriş uygulaması olarak gizler ancak kullanıcı verilerini çalmak üzere tasarlanmıştır. Kurulumun ardından otomatik tıklama ve hareketleri gerçekleştirmek için erişilebilirlik izni ister.
Daha sonra, hareketleri kontrol etmek ve analizi engellemek için dizeleri Paranoid ile karartmak için Janus eklentisini kullanarak ekran paylaşımını başlatmak ve günlükleri göndermek için uzak sunucularla iletişim kurar.
Varsayılan SMS uygulamasını değiştirmeye ve yanlış yapılandırma nedeniyle ekran paylaşımının işlevsel olmadığı durumlarda ekran yakalama izinleri almaya çalışır; dahil edilmesi, kötü amaçlı yazılımın daha karmaşık saldırılara yönelik potansiyelini gösteriyor.
Kötü amaçlı yazılım kampanyası, kullanıcıları çalıntı kimlik bilgileriyle giriş yapmaları için kandırmak için sahte e-mağazalar kullanıyor; bu site daha sonra sahte ürünler sunuyor ve 18 Malezya bankasından bankacılık bilgilerini çalmak için sahte bir FPX ödeme sayfası kullanıyor.
Cyble'a göre saldırganlar, ekran paylaşımı ekleyerek ve erişilebilirlik hizmetlerinden yararlanarak oyunlarını geliştirerek daha geniş bir kitleyi hedef alma ve daha fazla veri çalma çabası gösterdiler.
Kötü amaçlı bir e-mağaza uygulaması bağlantısı (hxxps://www) içeren bir kimlik avı e-postası (T1660) kullanıyorlar[.]worldshopping-global[.]com/) ilk erişimi elde etmek için (TA0027).
Kötü amaçlı yazılım yüklendikten sonra, gelen SMS mesajlarını çalmak (T1636.004) ve potansiyel olarak kullanıcı eylemlerini taklit etmek için girişleri (T1516) enjekte etmek üzere yayın alıcılarını (T1624.001) kaydeder.
Ayrıca Janus WebRTC eklentisini kullanarak ekran görüntüleri (T1513) yakalar ve SMS mesajları da dahil olmak üzere sızdırılan veriler hxxps://superbunapp adresindeki bir komut ve kontrol sunucusuna (T1646) gönderilir.[.]com.
Saldırganlar, farklı bir kimlik avı web sitesi (hxxps://ecart-global) aracılığıyla dağıtılan sahte ticaret uygulamasıyla da benzer taktikler kullanıyor.[.]com).
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide