Medusa kötü amaçlı yazılım ailesinin, önceki sürümlere kıyasla komut yapısında ve yeteneklerinde değişiklikler gösteren, “4K Spor” uygulaması olarak gizlenen yeni bir çeşidi keşfedildi.
Araştırmacılar bu değişikliklerin verimliliği artırmayı ve botnet’i güçlendirmeyi amaçladığına inanıyor.
Medusa’nın kullandığı MaaS modeli, yeni iştirakçilerin keşfedilmemiş bölgeleri hedeflemek için daha az tespit edilebilir varyantlar araması gibi çeşitli faktörlere dayalı uyarlamalara olanak sağlıyor.
İlk olarak 2020’de keşfedilen Medusa bankacılık Truva Atı, saldırganlara VNC ve erişilebilirlik hizmetleri aracılığıyla cihazlara uzaktan erişim sağlayarak gerçek zamanlı ekran paylaşımı yapmalarına, tuş vuruşlarını çalmalarına ve hesap gibi cihaz içi sahtekarlık (ODF) için yer paylaşımlı saldırılar başlatmalarına olanak tanır. devralma (ATO).
Medusa, saldırganın C2 sunucusuyla bir web soketi bağlantısı aracılığıyla iletişim kurar ve gizleme ve yayından kaldırmalara karşı dayanıklılık için URL’yi Telegram gibi sosyal medya platformlarından dinamik olarak alır.
Kötü amaçlı yazılım ayrıca ek iletişim yedeklemesi için sosyal medyadaki yedekleme kanallarını da kullanıyor.
Medusa kötü amaçlı yazılım kampanyalarının Temmuz 2023’ten bu yana yakın zamanda yeniden canlanması, kötü amaçlı yazılımı hedeflenen ülkelerdeki (CA, ES, FR, IT, İngiltere, ABD, TK) Android cihazlara yandan yükleyen indiriciler sunmak için sosyal mühendislikten (smishing) yararlanıyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Bu yeni varyant, cihaz içi dolandırıcılıktan (ODF) yararlanıyor ancak belirli para çekme yöntemleri ve transfer tutarları bilinmiyor; Medusa, farklı işlevlere sahip birden fazla botnet’i destekleyebilen arka uç altyapısı aracılığıyla uyarlanabilirlik sergiliyor.
Cleafy, tuzak türlerine, dağıtım stratejilerine ve hedeflenen konumlara göre birbirinden ayrılan beş aktif botnet keşfetti.
İki Medusa botnet kümesi belirlendi; Burada Küme 1 Türkiye, ABD ve Kanada’yı hedef alıyor ve geleneksel kimlik avı taktiklerini kullanıyor; Küme 2 ise Avrupa’yı hedef alıyor ve kimlik avının yanı sıra bırakıcılar da kullanıyor; çünkü her iki küme de tespitten kaçınmak için istenen izinleri azaltıyor.
İlk kampanyalar kameralar, mikrofonlar, konumlar vb. için izinler talep ediyordu, ancak son kampanyalar yalnızca erişilebilirlik, SMS, internet, ön plan hizmeti ve paket yönetimi gibi temel işlevler için izinler talep ediyor, bu da onları daha gizli ve tespit edilmesini zorlaştırıyor.
Araştırmacılar, Medusa kötü amaçlı yazılımının basitleştirilmiş bir komut setine sahip yeni bir çeşidini belirlediler ve önceki sürümden 17 komut, kapladığı alanı azaltmak ve gizliliği artırmak için kaldırıldı.
Saldırganların kötü amaçlı etkinlikleri maskelemesine ve potansiyel olarak hassas bilgileri çalmasına olanak tanıyan ekran görüntüleri alma, uygulamaları kaldırma ve cihaz ekranını siyah bir kaplamayla kontrol etme dahil olmak üzere beş yeni komut tanıtıldı.
İzin gerektiren bazı işlevler (örneğin SMS gönderme, kişi alma) kodda hâlâ mevcut ancak sistem tarafından izin verilmeden engelleniyor; bu da kötü amaçlı yazılımın uyarlanabilir olduğunu ve gelecekteki kampanyalar için kolayca değiştirilebileceğini gösteriyor.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free