Trustwave’in SpiderLab’larındaki siber güvenlik araştırmacıları, Brezilya’daki banka müşterilerini hedef alan yeni bir bankacılık truva atı hakkında bir uyarı yayınladı. Eternidade Stealer (Portekizcede Sonsuzluk anlamına gelen) olarak adlandırılan bu kötü amaçlı yazılım, insanları kandırmak ve özel mali bilgilerini çalmak için popüler mesajlaşma uygulaması WhatsApp’ı kullanıyor.
Saldırı Basit Bir Mesajla Başlıyor
Suçlular, günün saatine göre ayarlanan (“günaydın” gibi) selamlar içeren, Portekizce kişiselleştirilmiş bir WhatsApp mesajıyla başlayarak sosyal mühendislik kullanıyor. Bu taktik anında mesajın meşru görünmesini sağlar. Kurban ekli kötü amaçlı dosyaya tıkladığında karmaşık bir saldırı zinciri başlıyor.
Tehdit hızla kullanıcının WhatsApp hesabını ele geçiriyor. Programın ilk eylemi, kurbanın tüm iletişim listesini hızla çalmaktır ve bu liste, anında suçlunun kontrol sunucusuna gönderilir. Daha sonra Python betiğinde yazılmış bir yayma programı kullanarak kendisini otomatik olarak kurbanın tüm bağlantılarına gönderir. Python’a yapılan bu geçiş, genellikle farklı yazılımların kullanıldığı önceki saldırılara göre önemli bir değişikliktir.
Hedefi Yüksek Bir Operasyon
Trustwave’in blog gönderisine göre Eternidade Stealer, verimliliği ve bölgesel bilinirliği nedeniyle Brezilya’daki siber suçlular tarafından tercih edilen bir programlama dili olan Delphi kullanılarak oluşturuldu. Kötü amaçlı yazılım oldukça yerelleştirilmiştir; yalnızca Brezilya Portekizcesi işletim sistemi diline sahip kullanıcıları hedefler.
Hırsız, ana saldırısını başlatmadan önce kurbanın bilgisayarının profilini çıkarır ve tespit edilmekten kaçınmasına yardımcı olmak için Windows Defender veya Kaspersky gibi güvenlik yazılımlarını kontrol eder. Program ayrıca, kontrol sunucusunun mevcut konumunu almak için IMAP protokolünü kullanarak belirli bir e-posta hesabına giriş yaparak talimatlarını alacak şekilde akıllıca tasarlanmıştır.
Araştırmacılar, tehdit aktörünün e-posta hesabına eriştiklerinde bu davranışı doğrulayabildiler ve suçlunun basit, kolayca ele geçirilebilen kimlik bilgileri kullandığını buldular.
Bankalardan ve Cüzdanlardan Çalmak
Kötü amaçlı yazılım, etkinleştiğinde uzun bir finansal hedef listesini izleyecek şekilde programlanır. Büyük Brezilya bankalarına (Itaú, Bradesco ve Caixa Econômica Federal gibi), popüler ödeme hizmetlerine (MercadoPago gibi) ve hatta MetaMask, Trust Wallet ve Binance dahil kripto para birimi cüzdanlarına ve borsalarına bağlı uygulamaları aktif olarak tarar.
Bir kurban bu hedeflenen uygulamalardan birini açtığında, hırsız, oturum açma sayfasına tam olarak benzeyen, yer paylaşımı olarak bilinen sahte bir ekran yerleştirir. Kurban farkında olmadan hassas bilgilerini bu sahte forma girerek kimlik bilgilerini doğrudan suçlulara gönderiyor.
Güvende kalmak için, bilinen bir kişiden geliyor gibi görünseler bile beklenmeyen mesajlara veya eklere karşı dikkatli olun. Şüpheli bir dosya alırsanız onu asla açmayın; bunun yerine, göndericiyi gerçekten gönderdiğini doğrulamak için farklı bir platformdan arayın veya mesaj gönderin.