Trustwave SpiderLabs araştırmacıları, WhatsApp’ın ele geçirilmesi ve sosyal mühendislik taktikleri yoluyla yayılan, Eternidade Stealer adında karmaşık bir bankacılık truva atı tespit etti.
Delphi’de yazılan kötü amaçlı yazılım, Brezilya’nın siber suç ortamında önemli bir evrimi temsil ediyor ve gelişmiş kişi toplama ile finansal kurumları hedef alan kimlik bilgileri hırsızlığını birleştiriyor.
Tehdit, WhatsApp mesajları yoluyla gönderilen gizlenmiş bir VBScript ile başlayan çok aşamalı bir enfeksiyon zincirinden ortaya çıkıyor.
.webp)
Çalıştırıldığında, komut dosyası iki ana veriyi içeren bir toplu iş dosyasını indirir: Python tabanlı bir WhatsApp solucanı ve bankacılık truva atını dağıtan bir MSI yükleyicisi.
Bu dağıtım yöntemi, mesajlaşma platformunun güvenilir doğasından yararlanarak kullanıcıların, hesapları ele geçirilen kişiler tarafından paylaşılan kötü amaçlı eklerle etkileşime girme olasılığını artırır.
Trustwave güvenlik analistleri, kötü amaçlı yazılımın özellikle Brezilyalı kurbanları hedefleme konusunda dikkate değer bir gelişmişlik sergilediğini belirtti.
Truva atı, enfeksiyona devam etmeden önce işletim sistemi dilinin Brezilya Portekizcesi olduğunu doğrulamak için coğrafi konum kontrollerini kullanıyor.
Sistem dili eşleşmezse, kötü amaçlı yazılım bir hata mesajı görüntüler ve sonlandırılır, böylece amaçlanan hedef bölge dışında kazara bulaşmalar önlenir ve korumalı alan tespitinden kaçınılır.
Eternidade Stealer’ın temel işlevi, WhatsApp kişi listelerinin tamamının çalınmasını içerir. obter_contatos() WPP.contact.list() API’sini kullanarak JavaScript kodunu çalıştıran işlev.
Kötü amaçlı yazılım, grupları, iş bağlantılarını ve yayın listelerini akıllıca filtreleyerek, özellikle kimlik avı mesajlarının kurbanı olma olasılığı daha yüksek olan bireysel kişisel kişilere odaklanıyor.
Çalınan her kişi kaydı, tam WhatsApp kimliğini, kişi adını, telefon numarasını ve kişinin kayıtlı olup olmadığını içerir.
.webp)
Kötü amaçlı yazılım, toplandıktan sonra bu verileri kullanıcı etkileşimi olmadan HTTP POST istekleri aracılığıyla hemen komut ve kontrol sunucusuna gönderir.
Eternidade Stealer’ı özellikle tehlikeli kılan şey, çift katmanlı kalıcılık mekanizmasıdır. Truva atı, IMAP aracılığıyla tehdit aktörleri tarafından kontrol edilen bir e-posta hesabına bağlanmak için sabit kodlanmış kimlik bilgilerini kullanır.
Komuta ve kontrol sunucusu adresini e-posta konularından ve gövdelerinden çıkararak, saldırganların altyapılarını dinamik olarak güncellemelerine ve belirli etki alanları ele geçirilse bile bağlantıları sürdürmelerine olanak tanır.
Kötü amaçlı yazılım, 40’tan fazla Brezilya finans kurumunu, MercadoPago gibi ödeme hizmetlerini ve Binance ve Coinbase dahil kripto para borsalarını hedef alıyor.
Bir kurban, hedeflenen bir bankacılık uygulamasına eriştiğinde, truva atı, kimlik bilgilerini sorunsuz bir şekilde çalmak için tasarlanmış sahte oturum açma ekranlarını görüntüleyerek katman özelliğini etkinleştirir.
Sistem keşif yetenekleri, işletim sistemi ayrıntıları, yüklü antivirüs yazılımı, genel ve yerel IP adresleri ve çalışan işlemler dahil olmak üzere bilgileri toplar.
Bu keşif, tehdit aktörlerinin kimlik bilgileri hırsızlığına mı yoksa bankacılık katmanı dağıtımına mı devam edeceklerine karar vermelerine yardımcı olur.
Soruşturma, bir tehdit aktörünün altyapısının küresel olarak 454 bağlantı girişimi kaydettiğini ve ABD ile Avrupa ülkelerinden gelen önemli trafiğin Brezilya sınırlarının ötesinde daha geniş saldırı hedeflerini akla getirdiğini ortaya çıkardı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
