SMS kimlik avı (SMishing), kimlik avı e-postaları ve güvenliği ihlal edilmiş web siteleri yoluyla yayılan yeni CHAVECLOAK bankacılık Truva Atı'na karşı dikkatli olun.
FortiGuard Laboratuvarlarındaki siber güvenlik araştırmacıları, Brezilyalı bankacılık kullanıcılarını hedef alan, CHAVECLOAK adlı yüksek önem derecesine sahip bir Truva Atı keşfetti. Kötü amaçlı yazılım, Windows cihazlarını hedef alıyor ve çevrimiçi bankacılık platformlarına erişerek bankacılık kimlik bilgilerini ve finansal bilgilerini çalıyor.
CHAVECLOAK enfeksiyon yöntemi araştırılıyor, ancak araştırmacılar potansiyel dağıtım kanallarının kimlik avı e-postaları, SMS kimlik avı ve güvenliği ihlal edilmiş web siteleri içerdiğinden şüpheleniyor.
Şirketin blog gönderisine göre kampanya, meşru banka iletişimleri gibi görünen ve kullanıcıları kötü amaçlı yazılım indirmeye yönlendirebilecek kötü amaçlı e-postaları içeriyor. Daha sonra Portekizce dil ayarlarını, DLL yüklemesini ve yanıltıcı açılır pencereleri kullanarak şüphelenmeyen kullanıcıları hedef alır. Mağdurların finansal portallarla olan etkileşimlerini aktif olarak izliyor.
DLL yan yüklemesinin büyük bir güvenlik riski oluşturduğunu belirtmekte fayda var çünkü bu, kötü amaçlı yazılımın şüphe uyandırmadan veya tespit edilmeden yasal süreçlerden yararlanmasına olanak tanıyor.
Kötü amaçlı yazılım, kurbanların cihazlarını kontrol ediyor ve Portekizce talimatlar içeren sözleşme belgeleri içerdiğini iddia ederek, kötü amaçlı bir PDF dosyası aracılığıyla hassas finansal bilgileri topluyor. Ancak, Goo.su aracılığıyla işlenen ve bir ZIP dosyasına yönlendiren kötü amaçlı bir indirme bağlantısına sahiptir ve sonuçta “NotafiscalGFGJKHKHGUURTURTF345.msi” MSI dosyası ortaya çıkar.
MSI yükleyicisi sıkıştırılmış dosyayı açtığında birden fazla TXT dosyası, yasal bir yürütme dosyası ve “Lightshot.dll” adlı kötü amaçlı bir DLL ortaya çıkardı. DLL dosyasının değiştirilme tarihi diğer dosyalardan daha yenidir. Yükleyici “Lightshot.exe” dosyasını çalıştırır ve kötü amaçlı DLL'yi yürütmek için DLL yan yükleme tekniklerini kullanır. Bu, meşru yürütülebilir dosyanın kötü amaçlı kodu gizli bir şekilde çalıştırmasına olanak tanır ve veri hırsızlığı gibi yetkisiz faaliyetlere olanak tanır.
Ayrıca kötü amaçlı yazılım, dosya sistemi ve birim bilgilerini toplamak için “GetVolumeInformationW” işlemini kullanıyor, bir günlük dosyası oluşturuyor ve kullanıcı oturum açtığında “Lightshot.exe” programını çalıştırıyor. “GetForegroundWindow” ve “GetWindowTextW” API'lerini kullanarak HTTP istekleri gönderir, verileri günlüğe kaydeder ve ön plan penceresini izler.
Kötü amaçlı yazılım daha sonra C2 sunucusuyla iletişim kurarak kurbanın kimlik bilgilerini çalma, ekranını engelleme, tuş vuruşlarını günlüğe kaydetme ve yanıltıcı açılır pencereler görüntüleme işlemlerini kolaylaştırıyor.
Ayrıca, Brezilya ve Latin Amerika'nın en büyük dijital para borsası olan ve geleneksel ve kripto para platformları ile geleneksel bankaları birleştiren Mercado Bitcoin de dahil olmak üzere finansal portallara erişimi aktif olarak izliyor.
Çalınan bilgiler farklı yollara yüklenir. Kötü amaçlı yazılım, hesap bilgilerini yapılandırır ve bir POST isteği gönderir. Kötü amaçlı yazılım, kurbanların finansal portallarla olan etkileşimlerini aktif olarak izleyerek çağdaş bankacılık truva atlarının karmaşıklığını vurguluyor.
Kendinizi CHAVECLOAK ve benzeri bankacılık truva atlarından korumak için, e-postalara ve SMS'lere karşı dikkatli olun, web sitesinin meşruiyetini doğrulayın, iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin, güçlü şifreler kullanın ve işletim sisteminizi, web tarayıcınızı ve güvenlik yazılımınızı bilinen adreslere göre düzenli olarak güncelleyin. güvenlik açıkları. Şüpheli bağlantılara veya eklere tıklamaktan kaçının ve web sitesi URL'lerini yazım hataları veya küçük değişiklikler açısından tekrar kontrol edin.
İLGİLİ KONULAR
- TA544 tehdit aktörleri Ursnif bankacılık trojanıyla İtalyan firmalarını vurdu
- Kişisel ve Bankacılık Verilerini Çalan Yeni MaliBot Android Kötü Amaçlı Yazılımı Bulundu
- Microsoft Exchange Server saldırısının Avrupa Bankacılık Otoritesi kurbanı
- Android Bankacılık Kötü Amaçlı Yazılımı FjordPhantom Sanallaştırma Yoluyla Fon Çalıyor
- SpyNote Casus Yazılımı, Bankacılık Müşterilerine SMS Kimlik Avı ile Geri Dönüyor