Lampion olarak bilinen sofistike bir bankacılık Truva atı, gelişmiş bir saldırı stratejisi ile yeniden ortaya çıktı ve şimdi şüpheli olmayan kurbanlardan hassas bankacılık kimlik bilgilerini hasat etmek için sahte ClickFix yardımcı programları kullanıyor.
İlk olarak 2019’un sonlarında tanımlanan bu bankacılık kötü amaçlı yazılımları, birden fazla Avrupa bankacılık kurumunda finansal verilerin uzlaşmasındaki etkinliğini artırmak için önemli değişiklikler geçirmiştir.
En son kampanya, kötü amaçlı yazılım operatörlerinin enfeksiyon oranlarını en üst düzeye çıkarmak için sosyal mühendislik tekniklerinin sürekli uyarlanmasını ve iyileştirilmesini göstermektedir.
.png
)
Mevcut dağıtım yöntemi, meşru yazılım güncelleme hizmetlerini taklit eden hileli e -postalardan yararlanır ve özellikle tarayıcı uyumluluk sorunlarını çözen “ClickFix” adlı hayali bir yardımcı programı taklit eder.
Bu kimlik avı e -postaları, kurbanları bir tarayıcı onarım aracı gibi görünen şeyleri indirmeye yönlendiren kötü niyetli ekler veya bağlantılar içerir, ancak bunun yerine Lampion yükünü sunar.
Uygulandıktan sonra, kötü amaçlı yazılım, bankacılık kimlik bilgilerini, kredi kartı bilgilerini ve diğer hassas finansal verileri tehlikeye atılan sistemlerden hasat etmek için gizli çalışmasına başlar.
Palo Alto Networks araştırmacıları, birden fazla ülkedeki ilgili enfeksiyon girişimlerinde önemli bir artış gözlemledikten sonra bu yeni varyantı tanımladılar.
Analizleri, enfekte olmuş sistemlere kalıcı erişimi sürdürürken geleneksel güvenlik çözümlerini atlamak için tasarlanmış sofistike gizleme tekniklerini ortaya çıkardı.
Bulgularına göre, kampanya öncelikle Portekiz, İspanya ve diğer Avrupa bölgelerindeki bankacılık müşterilerini çeşitli dillerde özelleştirilmiş cazibelerle hedefliyor.
Bu kampanyanın etkisi
Bu kampanyanın finansal etkisi önemli olmuştur ve çok sayıda kurban enfeksiyonun ardından yetkisiz işlemler bildirmektedir.
Bankacılık kurumları, devam eden tehditleri azaltmak için siber güvenlik ekipleriyle birlikte çalışırken ek güvenlik önlemleri uygulamak zorunda kalmıştır.
Bu saldırıların yaygın doğası, hem bireysel tüketiciler hem de finansal kuruluşlar için kalıcı bir tehdit olarak finansal kötü amaçlı yazılımların sürekli evrimini vurgulamaktadır.
.webp)
Enfeksiyon zinciri, kullanıcılar kayıt defteri değişiklikleri yoluyla kalıcılık oluşturan yüksek derecede gizlenmiş bir VBScript yürüten sahte ClickFix yardımcı programını indirdiğinde başlar.
Aşağıda gösterilen komut dosyası, ek bileşenleri indirmeden önce bir ilk dayanak oluşturur:-
Set WshShell = CreateObject("WScript.Shell")
strRegPath = "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"
WshShell.RegWrite strRegPath & "ClickFixUpdate", "wscript.exe //B " & """" & CreateObject("WScript.Shell").ExpandEnvironmentStrings("%TEMP%") & "\updater.vbs" & """", "REG_SZ"Bu aşama bir yükleyici, birincil lamba yükünü almak için komut ve kontrol sunucularıyla iletişim kurar.
Kötü amaçlı yazılım daha sonra, tespit edilmemiş kalırken bankacılık oturumlarını engellemek için gelişmiş kanca tekniklerini dağıtır.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.