Siber güvenlik araştırmacıları, Delphi tabanlı bir bankacılık truva atını dağıtmak için sosyal mühendislik ve WhatsApp korsanlığının birleşiminden yararlanan yeni bir kampanyanın ayrıntılarını açıkladılar. Sonsuzluk Hırsızı Brezilya’daki kullanıcıları hedef alan saldırıların bir parçası olarak.
Trustwave SpiderLabs araştırmacıları Nathaniel Morales, John Basmayor ve Nikita Kazymirskyi, The Hacker News ile paylaşılan kampanyanın teknik bir dökümünde “Komuta ve kontrol (C2) adreslerini dinamik olarak almak için İnternet Mesaj Erişim Protokolünü (IMAP) kullanıyor ve tehdit aktörünün C2 sunucusunu güncellemesine olanak tanıyor” dedi.
“Bu virüs bir WhatsApp solucanı kampanyası yoluyla dağıtılıyor ve aktör artık bir Python betiği dağıtıyor; önceki PowerShell tabanlı betiklerden WhatsApp’ı ele geçirmeye ve kötü amaçlı ekleri yaymaya geçiş yapılıyor.
Bulgular, Brezilyalı kullanıcıları SORVEPOTEL olarak bilinen WhatsApp Web üzerinden yayılan bir solucanla hedef alan Water Saci adlı başka bir kampanyanın hemen ardından geldi; bu solucan, daha sonra Coyote adlı bir .NET bankacılık kötü amaçlı yazılımının evrimi olduğu değerlendirilen bir .NET bankacılık truva atı olan Maverick için bir kanal görevi görüyor.
Eternidade Stealer kümesi, Güney Amerika ülkesinde WhatsApp’ın yaygınlığını kötüye kullanarak hedef kurban sistemlerini tehlikeye atan ve mesajlaşma uygulamasını Brezilya kurumlarına karşı büyük ölçekli saldırılar başlatmak için bir yayılma vektörü olarak kullanan daha geniş bir faaliyetin parçası.
Dikkate değer bir diğer trend ise, Latin Amerika’yı hedef alan tehdit aktörleri için Delphi tabanlı kötü amaçlı yazılımların sürekli tercih edilmesidir. Bu tercihin büyük ölçüde nedeni, yalnızca teknik verimliliği değil, aynı zamanda programlama dilinin bölgede öğretilmesi ve yazılım geliştirmede kullanılması gerçeğidir.
Saldırının başlangıç noktası, çoğunlukla Portekizce yazılan yorumların yer aldığı, karmaşık bir Visual Basic Komut Dosyasıdır. Komut dosyası bir kez yürütüldüğünde, iki yükün teslim edilmesinden sorumlu olan bir toplu komut dosyasını bırakır ve enfeksiyon zincirini etkili bir şekilde ikiye böler.
- Kötü amaçlı yazılımın solucan benzeri bir şekilde WhatsApp Web tabanlı yayılmasını tetikleyen bir Python komut dosyası
- Eternidade Stealer’ı başlatmak için AutoIt betiğini kullanan bir MSI yükleyicisi
SORVEPOTEL’e benzeyen Python betiği, uzak bir sunucuyla iletişim kuruyor ve ele geçirilen hesaplardaki mesajların WhatsApp aracılığıyla gönderilmesini otomatikleştirmek için açık kaynaklı WPPConnect projesinden yararlanıyor. Bunu yapmak için, grupları, iş bağlantılarını ve yayın listelerini filtrelerken kurbanın tüm kişi listesini toplar.
Kötü amaçlı yazılım daha sonra her bir kişi için WhatsApp telefon numarasını, adını ve kayıtlı bir kişi olup olmadığını gösteren bilgileri yakalamaya devam ediyor. Bu bilgi, saldırganın kontrol ettiği sunucuya bir HTTP POST isteği üzerinden gönderilir. Son aşamada, bir mesajlaşma şablonu kullanılarak ve belirli alanlar zamana dayalı selamlamalar ve kişi adlarıyla doldurularak tüm kişilere kötü amaçlı bir ek biçiminde kötü amaçlı bir ek gönderilir.
Saldırının ikinci ayağı, MSI yükleyicisinin, işletim sistemi dilinin Brezilya Portekizcesi olup olmadığını inceleyerek ele geçirilen sistemin Brezilya merkezli olup olmadığını kontrol eden bir AutoIt betiği de dahil olmak üzere birçok veriyi bırakmasıyla başlıyor. Aksi takdirde kötü amaçlı yazılım kendi kendini sonlandırır. Bu, tehdit aktörlerinin aşırı yerelleştirilmiş bir hedefleme çabasına işaret ediyor.
Komut dosyası daha sonra yüklü güvenlik ürünlerinin varlığını tespit etmek için çalışan işlemleri ve kayıt defteri anahtarlarını tarar. Ayrıca makinenin profilini çıkarır ve ayrıntıları bir komuta ve kontrol (C2) sunucusuna gönderir. Saldırı, kötü amaçlı yazılımın Eternidade Stealer yükünü süreç boşaltmayı kullanarak “svchost.exe” dosyasına enjekte etmesiyle sonuçlanır.
Delphi tabanlı bir kimlik bilgisi hırsızı olan Eternidade, diğerlerinin yanı sıra Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask ve Trust Wallet gibi bankacılık portalları, ödeme hizmetleri ve kripto para borsaları ve cüzdanlarıyla ilgili dizeler için aktif pencereleri ve çalışan süreçleri sürekli olarak tarar.
Araştırmacılar, “Böyle bir davranış, kurban hedeflenen bir bankacılık veya cüzdan uygulamasını açana kadar kötü niyetli bileşenlerin hareketsiz kaldığı, saldırının yalnızca ilgili bağlamlarda tetiklenmesini ve sıradan kullanıcılar veya sanal alan ortamları için görünmez kalmasını sağlayan klasik bir bankacı veya kaplama hırsızı taktiğini yansıtıyor.” dedi.
Bir eşleşme bulunduğunda, ayrıntıları terra.com’a bağlı bir gelen kutusundan alınan bir C2 sunucusuyla bağlantı kurar.[.]br e-posta adresi, Water Saci’nin yakın zamanda benimsediği taktiği yansıtıyor. Bu, tehdit aktörlerinin C2’lerini güncellemelerine, kalıcılıklarını sürdürmelerine ve tespit veya kaldırma işlemlerinden kaçınmalarına olanak tanır. Kötü amaçlı yazılımın, sabit kodlanmış kimlik bilgilerini kullanarak e-posta hesabına bağlanamaması durumunda, kaynak koduna katıştırılmış bir yedek C2 adresi kullanır.
Sunucuyla başarılı bir bağlantı kurulur kurulmaz, kötü amaçlı yazılım gelen mesajları bekler ve bu mesajlar daha sonra virüslü ana bilgisayarlarda işlenir ve yürütülür; saldırganların tuş vuruşlarını kaydetmesine, ekran görüntüleri almasına ve dosyaları çalmasına olanak tanır. Dikkate değer komutlardan bazıları aşağıda listelenmiştir –
- <|OK|>sistem bilgilerini toplamak için
- <|PING|>kullanıcı etkinliğini izlemek ve o anda etkin olan pencereyi raporlamak için
- <|PedidoSenhas|>etkin pencereye dayalı olarak kimlik bilgileri hırsızlığına karşı özel bir katman göndermek için
Trustwave, tehdit aktörü altyapısının analizinin, biri Yeniden Yönlendirme Sistemini yönetmek için, diğeri ise muhtemelen virüslü ana bilgisayarları izlemek için kullanılan oturum açma paneli olmak üzere iki panelin keşfedilmesine yol açtığını söyledi. Yönlendirme Sistemi, toplam ziyaret sayısını gösteren günlükleri ve C2 adresine ulaşmaya çalışan bağlantılara yönelik blokları içerir.
Sistem yalnızca Brezilya ve Arjantin’de bulunan makinelere erişime izin verirken, engellenen bağlantılar “google”a yönlendirilmektedir.[.]com/error.” Panelde kaydedilen istatistikler, 454 ziyaretten 452’sinin coğrafi sınırlama kısıtlamaları nedeniyle engellendiğini gösteriyor. Yalnızca kalan iki ziyaretin kampanyanın hedeflenen alanına yönlendirildiği söyleniyor.
454 iletişim kaydının 196’sı ABD’den geldi, bunu Hollanda (37), Almanya (32), İngiltere (23), Fransa (19) ve Brezilya (3) takip etti. Windows işletim sistemi 115 bağlantı oluşturdu, ancak panel verileri bağlantıların aynı zamanda macOS (94), Linux (45) ve Android’den (18) geldiğini gösteriyor.
Trustwave, “Kötü amaçlı yazılım ailesi ve dağıtım vektörleri öncelikle Brezilya’da olmasına rağmen, olası operasyonel ayak izi ve kurbanların maruz kalması çok daha küreseldir” dedi. “Siber güvenlik savunucuları, şüpheli WhatsApp etkinliklerine, beklenmeyen MSI veya komut dosyası yürütmelerine ve devam eden bu kampanyayla bağlantılı göstergelere karşı tetikte kalmalıdır.”