Tehdit avcıları, Coyote adlı bir bankacılık kötü amaçlı yazılımı ile WhatsApp aracılığıyla yayılan Maverick adlı yeni açıklanan kötü amaçlı bir program arasındaki benzerlikleri ortaya çıkardı.
CyberProof tarafından hazırlanan bir rapora göre, her iki kötü amaçlı yazılım türü de .NET’te yazılıyor, Brezilyalı kullanıcıları ve bankaları hedef alıyor ve şifreyi çözmek, bankacılık URL’lerini hedeflemek ve bankacılık uygulamalarını izlemek için aynı işlevselliğe sahip. Daha da önemlisi, her ikisi de WhatsApp Web üzerinden yayılma özelliğini içeriyor.
Maverick ilk kez geçtiğimiz ayın başında Trend Micro tarafından belgelendi ve Maverick adlı bir tehdit aktörüne atfedildi. Su Torbaları. Kampanya iki bileşenden oluşuyor: WhatsApp’ın masaüstü web sürümü aracılığıyla yayılan ve Maverick yükünü içeren bir ZIP arşivi sunmak için kullanılan, SORVEPOTEL adı verilen, kendi kendine yayılan bir kötü amaçlı yazılım.
Kötü amaçlı yazılım, Latin Amerika’daki finansal kuruluşların sabit kodlu listesiyle eşleşen URL’ler için etkin tarayıcı penceresi sekmelerini izlemek üzere tasarlandı. URL’lerin eşleşmesi durumunda, sistem bilgilerini toplamak ve kimlik avı sayfalarını çalmak için takip komutları getirmek üzere uzak bir sunucuyla bağlantı kurar.
Siber güvenlik şirketi Sophos, daha sonraki bir raporda, faaliyetin Brezilya’daki kullanıcıları hedef alan Coyote’u yayan daha önce rapor edilen kampanyalarla ilgili olup olmadığı ve Maverick’in Coyote’un bir evrimi olup olmadığı olasılığını gündeme getiren ilk şirket oldu. Kaspersky’nin yaptığı başka bir analiz, Maverick’in Coyote ile birçok kod çakışması içerdiğini, ancak bunu Brezilya’yı toplu olarak hedef alan tamamen yeni bir tehdit olarak ele aldığını belirtti.
CyberProof’un en son bulguları, ZIP dosyasının, kullanıcı tarafından başlatıldığında harici bir sunucuya (“zapgrande) bağlanmak için cmd.exe veya PowerShell’i çalıştıran bir Windows kısayolu (LNK) içerdiğini gösteriyor.[.]com”) ilk aşama yükünü indirmek için kullanılır. PowerShell betiği, Microsoft Defender Antivirus ve UAC’yi devre dışı bırakmanın yanı sıra bir .NET yükleyiciyi almak için tasarlanmış ara araçları başlatabilir.
Yükleyici, tersine mühendislik araçlarının varlığını kontrol etmek ve bulunması durumunda kendi kendini sonlandırmak için anti-analiz tekniklerine sahiptir. Yükleyici daha sonra saldırının ana modüllerini indirmeye devam eder: SORVEPOTEL ve Maverick. Maverick’in ancak kurbanın Brezilya’da bulunduğundan emin olunduktan sonra, virüslü ana bilgisayarın saat dilimini, dilini, bölgesini ve tarih ve saat biçimini kontrol ettikten sonra kurulduğunu burada belirtmekte fayda var.
CyberProof ayrıca kötü amaçlı yazılımın Brezilya’daki otelleri ayırmak için kullanıldığına dair kanıtlar bulduğunu ve bunun da hedeflemenin olası bir genişlemesine işaret ettiğini söyledi.
Açıklama, Trend Micro’nun Water Saci’nin e-posta tabanlı bir komuta ve kontrol (C2) altyapısı kullanan, dayanıklılık için çoklu vektör kalıcılığına dayanan ve tespitten kaçınmak, operasyonel gizliliği artırmak ve yürütmeyi yalnızca Portekizce dildeki sistemlerle sınırlandırmak için çeşitli gelişmiş kontroller içeren yeni saldırı zincirini ayrıntılarıyla anlatmasıyla geldi.
Siber güvenlik şirketi geçen ayın sonlarında yayınlanan bir raporda, “Yeni saldırı zinciri aynı zamanda tehdit aktörlerinin kötü amaçlı yazılımın kampanyasını duraklatmak, sürdürmek ve izlemek de dahil olmak üzere gerçek zamanlı yönetime olanak tanıyan, virüs bulaşmış makineleri birden fazla uç nokta üzerinde koordineli, dinamik operasyonlar için etkili bir şekilde bir botnet aracına dönüştürmeyi sağlayan gelişmiş bir uzaktan komuta ve kontrol sistemine sahip.” dedi.
 |
| Yeni Su Saci saldırı zinciri gözlemlendi |
Bulaşma dizisi, WhatsApp tarayıcı oturumlarını ele geçirmek ve ZIP dosyasını mesajlaşma uygulaması aracılığıyla yaymak için Visual Basic Komut Dosyası (VB Komut Dosyası) ve PowerShell’i tercih ederek .NET ikili dosyalarından kaçınıyor. Önceki saldırı zincirine benzer şekilde, WhatsApp Web’in ele geçirilmesi, tarayıcı otomasyonu için ChromeDriver ve Selenium indirilerek gerçekleştirildi.
Saldırı, bir kullanıcı, gizlenmiş bir VBS indiricisi (“Orcamento.vbs” diğer adıyla SORVEPOTEL) içeren ZIP arşivini indirip çıkardığında tetiklenir; bu indirici, bir PowerShell betiğini (“tadeu.ps1”) doğrudan belleğe indirmek ve yürütmek için bir PowerShell komutu verir.
Bu PowerShell betiği, kurbanın WhatsApp Web oturumunun kontrolünü ele geçirmek ve kötü amaçlı ZIP dosyalarını hesaplarıyla ilişkili tüm kişilere dağıtmak için kullanılırken, aynı zamanda kötü niyetli amacını gizlemek için “WhatsApp Automation v6.0” adlı aldatıcı bir başlık görüntüler. Ayrıca komut dosyası, mesaj şablonlarını almak ve kişi listelerini dışarı çıkarmak için bir C2 sunucusuyla bağlantı kurar.
Trend Micro, “Kötü amaçlı yazılım, mevcut tüm Chrome işlemlerini sonlandırdıktan ve temiz çalışmayı sağlamak için eski oturumları temizledikten sonra, kurbanın meşru Chrome profil verilerini geçici çalışma alanına kopyalıyor.” dedi. “Bu veriler çerezleri, kimlik doğrulama belirteçlerini ve kayıtlı tarayıcı oturumunu içerir.”
 |
| Su Saci kampanya zaman çizelgesi |
“Bu teknik, kötü amaçlı yazılımın WhatsApp Web’in kimlik doğrulamasını tamamen atlamasına olanak tanıyor ve güvenlik uyarılarını tetiklemeden veya QR kod taraması gerektirmeden kurbanın WhatsApp hesabına anında erişim sağlıyor.”
Siber güvenlik şirketi, kötü amaçlı yazılımın ayrıca, saldırganın WhatsApp yayılımını gerçek zamanlı olarak duraklatmasına, devam ettirmesine ve izlemesine olanak tanıyan, onu tehlikeye atılan ana bilgisayarları bir bot gibi kontrol edebilen kötü amaçlı yazılıma etkili bir şekilde dönüştüren gelişmiş bir uzaktan kontrol mekanizması uyguladığını da ekledi.
ZIP arşivini gerçekte nasıl dağıttığına gelince, PowerShell kodu toplanan her kişiyi yineler ve mesaj şablonundaki değişkenleri zamana dayalı selamlamalar ve kişi adlarıyla değiştirerek kişiselleştirilmiş mesajlar göndermeden önce bir duraklatma komutunu kontrol eder.
SORVEPOTEL’in bir diğer önemli özelliği de terra.com’a IMAP bağlantılarından yararlanmasıdır.[.]Geleneksel HTTP tabanlı iletişim kullanmak yerine, e-posta hesabına bağlanmak ve komutları almak için sabit kodlanmış e-posta kimlik bilgilerini kullanan e-posta hesaplarını kullanın. Bu hesaplardan bazıları, yetkisiz erişimi önlemek için çok faktörlü kimlik doğrulama (MFA) kullanılarak güvence altına alınmıştır.
Her oturum açma işleminde tehdit aktörünün gelen kutusuna erişmek için tek seferlik bir kimlik doğrulama kodunu manuel olarak girmesini ve komutları göndermek için kullanılan C2 sunucusu URL’sini kaydetmesini gerektirdiğinden, eklenen bu güvenlik katmanının operasyonel gecikmelere yol açtığı söyleniyor. Arka kapı daha sonra talimatları almak için C2 sunucusunu periyodik olarak yoklar. Desteklenen komutların listesi aşağıdaki gibidir:
- INFO, ayrıntılı sistem bilgilerini toplamak için
- CMD, cmd.exe aracılığıyla bir komut çalıştırmak ve yürütme sonuçlarını geçici bir dosyaya aktarmak için
- POWERSHELL, bir PowerShell komutunu çalıştırmak için
- SCREENSHOT, ekran görüntüsü almak için
- TASKLIST, çalışan tüm işlemleri numaralandırmak için
- KILL, belirli bir süreci sonlandırmak için
- LIST_FILES, dosyaları/klasörleri numaralandırmak için
- DOWNLOAD_FILE, virüslü sistemden dosya indirmek için
- UPLOAD_FILE, dosyaları virüslü sisteme yüklemek için
- DELETE, belirli dosyaları/klasörleri silmek için
- RENAME, dosyaları/klasörleri yeniden adlandırmak için
- KOPYALA, dosyaları/klasörleri kopyalamak için
- TAŞI, dosyaları/klasörleri taşımak için
- FILE_INFO, bir dosya hakkında ayrıntılı meta veriler almak için
- ARAMA, belirtilen kalıplarla eşleşen dosyaları yinelemeli olarak aramak için
- CREATE_FOLDER, klasörler oluşturmak için
- REBOOT, sistemin 30 saniye gecikmeyle yeniden başlatılmasını başlatmak için
- KAPATMA, 30 saniye gecikmeyle sistem kapatmayı başlatmak için
- GÜNCELLEME, kendisinin güncellenmiş bir sürümünü indirip yüklemek için
- CHECK_EMAIL, saldırganın kontrol ettiği e-postayı yeni C2 URL’leri açısından kontrol etmek için
Kampanyanın yaygınlığı, WhatsApp’ın 148 milyondan fazla aktif kullanıcıya sahip olan ve Hindistan’dan sonra dünyanın ikinci büyük pazarı haline gelen Brezilya’daki popülaritesinden kaynaklanıyor.
Trend Micro, saldırganları “nicelik ve nitelik” açısından saldırgan olarak tanımlayarak, “Bulaşma yöntemleri ve devam eden taktiksel evrimin yanı sıra bölge odaklı hedefleme, Water Saci’nin muhtemelen Coyote ile bağlantılı olduğunu ve her iki kampanyanın da aynı Brezilya siber suç ekosistemi içinde çalıştığını gösteriyor” dedi.
“Water Saci kampanyasını Coyote’a bağlamak, bankacılık truva atının yayılma yöntemlerinde önemli bir değişimi gösteren daha büyük bir resmi ortaya koyuyor. Tehdit aktörleri, geleneksel yüklere güvenmekten, gizli, ölçeklenebilir saldırılar için meşru tarayıcı profillerinden ve mesajlaşma platformlarından yararlanmaya geçiş yaptı.”