İspanya, Meksika, Brezilya ve Arjantin’e karşı elektronik bankacılık dolandırıcılığı yapmak için bankacılık kötü amaçlı yazılımlarını kullanan bir suç örgütü olan Grandoreiro, yetkililer tarafından ele geçirildi. 2017 yılından bu yana faaliyet göstermektedir.
Suç grubunun dolandırıcılık eylemleri yoluyla 2019’dan bu yana en az 3,6 milyon avro taşıdığına inanılıyor.
İspanyol finans kuruluşu Caixa Bank, Brezilya bankacılık zararlı yazılımlarıyla dolandırıcılık çabalarının tespit edildiğini ve bunun potansiyel olarak 110 milyon avroluk kayba yol açtığını iddia ediyor.
ESET ve Brezilya Federal Polisi, Grandoreiro botnet’ini çökertmek için güçlerini birleştirdi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Grandoreiro Operatörlerine Genel Bakış
Federal Polis, Caixa Bank tarafından sağlanan ve kötü amaçlı bankacılık yazılımı operatörlerinin ve programcılarının Brezilya’da bulunduğunu gösteren kanıtlara dayanarak soruşturmaların sürdüğünü belirtti.
Soruşturmayı yürütenlere göre Grandoreiro kötü amaçlı yazılım operasyonlarının altyapısı bulut sunucularda barındırılıyordu.
ESET araştırmacıları, Grandoreiro operatörlerinin ağ altyapılarını barındırmak için AWS ve Azure gibi bulut hizmet sağlayıcılarını kötüye kullandıklarını belirtiyor.
Komuta ve kontrol programlarının kullanılması yoluyla kurbanların bilgisayarlarına uzaktan erişilebiliyor ve bu da değerli eşyaların siber hırsızlığına olanak sağlıyor.
Kötü amaçlı mesajlar (kimlik avı) içeren e-postalar, diğer şeylerin yanı sıra mahkeme celpleri, gecikmiş fatura tahsilatları veya faturalar gibi mesajların resmi olduğuna inanmalarını sağlayarak mağdurların cihazlarına bulaşmak için kullanıldı.
Bu nedenle kötü amaçlı dosya, bağlantıya tıklanarak veya ekin açılmasıyla indirildi ve kurbanın bilgisayarı kötü amaçlı etkinliklere açık hale geldi.
Fonlar, hesaplarını yasadışı fonları taşımak için uygunsuz bir şekilde “ödünç veren” suç grubu üyelerinin hesaplarına aktarıldı.
Grandoreiro kötü amaçlı yazılımı genel olarak kurbanın ekranını engellemeye, tuş vuruşlarını kaydetmeye, fare ve klavye etkinliğini simüle etmeye, kurbanın ekranını paylaşmaya ve sahte açılır pencereler görüntülemeye olanak tanıyor.
“DGA, Grandoreiro’nun bir C&C sunucusuna nasıl rapor vereceğini bildiği tek yoldur. ESET, geçerli tarihin yanı sıra, etki alanı oluşturma algoritması (DGA) statik yapılandırmayı da kabul ediyor; bu yazının yazıldığı an itibariyle bu türden 105 yapılandırma gözlemledik” dedi.
Araştırmacılar oluşturulan etki alanlarını ve bunlara bağlı IP adreslerini izlediklerinde, DGA’lar tarafından oluşturulan ve çeşitli konfigürasyonlara sahip birçok etki alanının aynı IP adresine çözümlendiğini bulurlar.
Kurbanların neredeyse yüzde 41’i Brezilya’dan geliyor; Meksika yüzde 30’la ikinci, İspanya ise yüzde 28’le ikinci sırada yer alıyor. Yüzde 1’den azı Arjantin, Portekiz ve Peru’dan oluşuyor. Her gün ortalama 551 kurban bağlanıyor.
Bozulma Operasyonu
São Paulo, Santa Catarina, Pará, Goiás ve Mato Grosso eyaletlerinde federal polis memurları, beş geçici tutuklama emrine ek olarak 13 arama ve el koyma emrini yerine getirdi.
Varlıklara ve değerli eşyalara el konulması ve kısıtlanmasına ilişkin mahkeme kararları, aynı zamanda suç örgütünün sermayesinin azaltılması ve varlıkların geri alınması için de uygulanıyor.
Brezilya Federal Polisi, Grandoreiro operasyon yapısının tepesinde olduğuna inanılan kişileri hedef alan bir operasyon düzenledi.