Yeni nesil berbat hedefli bankacılık yazılımları süratle yayılıyor

Günümüzün en faal ve yaratıcı siber suçlularının kıymetli bir kısmına mesken sahipliği yapan Brezilya, uzun vadedir e-ödeme ve çevrim içi bankacılık sistemlerinden kimlik haberlerini çalan berbat hedefli yazılımlar ve Truva atları için başlangıç noktası oldu. Böylelikle siber hatalılar mağdurların hesaplarından para çalmayı başardı. Geçmişte Brezilyalı siber hatalılar öncelikle mahallî finansal kurumların müşterilerini amaç alıyordu. Fakat bu durum 2011 yılının başında birkaç kümenin yurt dışına Truva atı ihraç etmeye başlamasıyla ve hudutlu da olsa bir muvaffakiyet elde etmesiyle değişti. 2020 yılında Tetrade olarak bilinen dört münferit Truva atı, dünya umumunda dağılmak için gereken yenilikleri hayata geçirdi.

Bu ailelerden biri olan Guildma, 2015’ten beri faal ve gerçek üzere görünen iş bildirileri yahut bildirimleri kılığına girerek kimlik avı e-postaları yoluyla yayılıyor.

Guildma, son yıllarda birkaç yeni gizlenme tekniğini tatbike koydu ve tespit edilmesini zorlaştırdı. Guildma, 2019’dan beri bulaştığı sistemindeki istenilmeyen gayeli yazılımı hususî bir belge biçimi yardımıyla gizliyor. Buna ek olarak denetim sunucusuyla muhaberesini Facebook ve YouTube sahifelerinde şifreli bir biçimde saklıyor. Böylelikle muhabere trafiğinin istenilmeyen gayeli olarak işaretlenmesini zorlaştırıyor ve hiçbir antivirüs bu web sitelerini engellemediğinden, denetim sunucusunun komutları kesintisiz olarak yürütebilmesini sağlıyor. 2015 yılında yalnızca Brezilya’da canlı olan Guildma’ya artık Güney Amerika, ABD, Portekiz ve İspanya’da yaygın olarak rastlanıyor.

Javali olarak bilinen ve 2017’den beri canlı olan bir sair mahallî Truva atı, Brezilya dışında Meksika’daki bankacılık müşterilerini de gaye almaya başladı. Bu da Guildma üzere kimlik avı e-postaları yoluyla yayılıyor ve C2 muhaberesi barındırmak için YouTube’u kullanıyor.

Ailenin üçüncü üyesi Melcoz, 2018’den beri faal olmakla birlikte son vakitlerde Meksika ve İspanya üzere denizaşırı memleketlerde de yaygınlaşmaya başladı.

Son olarak, Grandoreiro, Avrupa devletlerine sıçramadan evvel Latin Amerika’daki kullanıcıları amaç aldı. Birebir vakitte ailenin en yaygın üyesi olan Grandoreiro, 2016’dan beri dolaşımda ve istenilmeyen hedefli yazılımların hizmet olarak sunulduğu bir model izliyor. Yani vesair siber hatalıların fiyatı karşılığında sunduğu kaynakları kullanmasına müsaade veriyor.

Bu Truva atı ailesi, güvenliği ihlal edilmiş web siteleri ve spearphishing yoluyla yayılıyor. Başkaca Guildma ve Javali örneğindeki üzere C2 muhaberesini yasal web sitelerinde gizleyebiliyor.

Latin Amerika GReAT Yöneticisi Dmitry Bestuzhev, şunları söylüyor: “Bu dörtlü ailenin ardında mekan alan Brezilyalı siber hatalılar, berbat gayeli yazılımlarını dünya umumisine muvaffakiyetle ihraç etmek için etkin olarak öteki devletlerdeki benzeri oluşumlarla iş birliği kuruyorlar. Dahası, etkinliklerini gizlemek ve taarruzlarını daha kârlı hale getirmek için mütemadi yeni numaralar ve teknikler öğreniyorlar. Önümüzdeki periyotta bu dört örneğin vesair memleketlerde daha fazla bankaya saldırmasını aileye yeni üyelerin katılmasını bekliyoruz. Bu nedenle finansal kurumların bu tehditleri yakından izlemesi ve önleme yönelik adımlar atması çok kıymetli.”

Geri
Instagram
Facebook
Superbox