Bankacılık kötü amaçlı yazılımları, esas olarak tehdit aktörleri tarafından kurbanların bilgisayarlarından veya mobil cihazlarından aşağıdaki hassas finansal bilgileri çalmak için tasarlanmış ve kullanılan kötü amaçlı bir programdır:-
- Giriş kimlik
- Bankacılık ayrıntıları
Bu kötü amaçlı yazılım çeşitleri, aşağıdaki gelişmiş teknikleri kullanarak oldukça karmaşık olabilir: –
Check Point Research’teki siber güvenlik analistleri kısa süre önce Latin Amerika’da Brezilya ve Meksika’daki kullanıcıları hedefleyen, benzersiz LOLBin enfeksiyon zincirlerine sahip aktif bir BBTok bankacı kampanyası buldu.
BBTok Bankacılık Kötü Amaçlı Yazılımı
BBTok Banker ilk olarak 2020’de tanıtıldı ve Latin Amerika’ya şu yollarla girdi: –
- Dosyasız saldırılar
- Proses kontrolü özelliğine sahip
- Pano manipülasyonu
- Sahte giriş sayfaları
BBTok operatörleri, ilk enfeksiyonlar için e-posta eklerinden kimlik avı bağlantılarına geçiş yaparak birkaç yeni TTP ile gelişti.
BBTok, Meksika ve Brezilya’daki 40’tan fazla banka için operatörlere uzaktan kontrol ve arayüz simülasyonu sunuyor ve tarayıcı sekmelerini tarayarak mağdurları tespit ediyor.
Bankacı varsayılan olarak BBVA’yı taklit ederek kullanıcıları kişisel ve finansal bilgileri, özellikle de hesap devralma için 2FA kodlarını paylaşmaya teşvik ediyor.
Bu bankacılık kötü amaçlı yazılımı Delphi’de kodlanmıştır ve kurbanın ekranları ve banka formlarıyla eşleşen özel sahte arayüzler oluşturmak için VCL’yi kullanır. Bunun yanı sıra BBTok, virüslü makinelerde Bitcoin ile ilgili verileri de arıyor.
Kampanyaların etkili bir şekilde yönetilmesi için BBTok operatörleri, kurbanın kötü amaçlı bir bağlantıya tıklamasıyla başlayan ve özel bir veri yükünün indirilmesini tetikleyen benzersiz bir akış kullanıyor.
Hackforums aracılığıyla bulunan Add-PoshObfuscation ile gizlenen veriler[.]Ağustos 2021’de ‘Qismon’ kullanıcısı tarafından yazılan net gönderi, AMSI bypass ve PoshObfuscation kodunu sunuyor.
Enfeksiyon zincirinin iki çeşidi vardır ve her iki enfeksiyon zinciri de benzer adlara sahip DLL’ler kullanır (Trammy, Gammy, Brammy, Kammy).
Kammy, BBTok’un yükleyicisinin gizlenmiş, coğrafi sınırlamalarla korunan bir versiyonudur ve bankacı yüküne ve ek yazılıma yol açar.
Aşağıda enfeksiyon zincirlerinden bahsettik: –
Sunucu tarafı analizi, db.php tablo başlıklarıyla eşleşen 150’den fazla benzersiz girişle birlikte, tehdit aktörlerinin bakış açısından SQLite veritabanındaki bağlantılar aracılığıyla son kampanyaları ortaya koyuyor.
Gizli sunucu kodundaki Portekizce yorumlar, aktif bankacılık kötü amaçlı yazılım ekosistemiyle tanınan Brezilyalı tehdit aktörlerini güçlü bir şekilde akla getiriyor.
Meksika ve Brezilya’da faaliyet gösteren BBTok, LNK dosyaları, SMB ve MSBuild aracılığıyla yaratıcı teknikler ve dağıtım konusunda anlaşılması zor olmaya devam ediyor. Güvenlik araştırmacılarının korunmak için tehdit aktörleri gibi uyum sağlamaları gerekiyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.