Makale

Brezilya Merkezli Bankacılık Trojanları Tüm Dünyayı Tehdit Etmeye Başladı

Brezilyalı siber korsanların farklı gruplardaki bankacılık trojanları ile gerçekleştirdikleri saldırıları hem Latin Amerika hem de Avrupa kıtası odağında genişlettiği ortaya çıktı.

Bilgi Güvende

tarafından

25 Temmuz 2020

tarihinde yayımlandı

Güvenlik araştırmacıları, Brezilya’nın ardından Latin Amerika ülkeleri ve Avrupa’ya yayılan en az dört grup bankacılık trojanı tespit edildiğini kaydetti. Tümü birden “Tetrade” olarak adlandırılan trojanlar sırasıyla Guildma, Javali, Melcoz ve Grandoreiro olarak biliniyor. Her bir trojan grubu, bilgisayar sistemlerine arka kapı sunmalarının yanı sıra kötü amaçlı faaliyetlerini güvenlik yazılımlarından gizleme yeteneğine sahip.

Uzmanlar, Brezilya bankalarının Latin Amerika ve Avrupa’daki finansal operasyonlarını hedef almak için söz konusu bankacılık trojanlarının sınır ötesine yayıldığını düşünüyor. Brezilya bankalarının bağlantıları aracılığıyla siber korsanlar, kolayca yeni hedefler bulabilecekleri coğrafyalara yayılma fırsatı yakalıyor.

Çok basamaklı kötü amaçlı yazılım yükleme süreci

Yapılan analizler, Guildma ve Javali trojanlarının çok basamaklı bir saldırı sürecinde kullanıldığına işaret ediyor. Her iki trojan, taşıdıkları kötü amaçlı yazılımları bilgisayar ağlarına yüklemek için ilk olarak oltalama e-postaları kullanıyor.

İlk olarak 2015 yılında tespit edilen Guildma’nın o tarihten bu yana faaliyetlerini gizlemek için yeni içerikler edindiği, aynı zamanda Brezilya’nın ötesine geçerek Latin Amerika’daki hedefler üzerinde kullanıldığı anlaşıldı. Guildma ile düzenlenen oltalama saldırılarında, e-postalara kötü amaçlı yazılımları saklamak için sıkıştırılmış dosyalar eklendiği tespit edildi. Bir diğer yöntem, bir JavaScript kodunu aktif hale getiren HTML dosyası kullanarak kötü amaçlı yazılımın yüklenmesini sağlamak. Ayrıca, BITSAdmin gibi meşru yönetim araçları kullanarak diğer modüller de ele geçirilebiliyor.

Bunun ötesinde Guildma, NTFS Alternate Data Streams (ADS) kullanarak hedef sistemlere yüklenen kötü amaçlı yazılımı gizlemeyi başarıyor. ADS, Windows Server 2003 ve versiyonları için kullanılan bir dosya niteliği olarak biliniyor ve dosya ile klasörler için belirlenen izinleri belirliyor. DLL Search Order Hijacking yöntemi kullanarak kötü amaçlı yazılımları sızdığı sistemlere daha iyi yaymayı başarıyor. Söz konusu yöntemde DLL (Dynamic Link Library – Dinamik Link Kütüphanesi) yüklemek için kullanılan yöntem ile kötü amaçlı yazılımlar yükleniyor ve dosya komutlarının kontrolüne erişim sağlanıyor…

Kötü amaçlı yazılım, sisteme sızdıktan sonra ek modüllerini hayata geçirmek için kendisini beyaz liste (white list) süreçleri içinde gizliyor. Modüller, siber korsanlar tarafından kontrol edilen sunuculardan yükleniyor.

Guildma trojanı ile düzenlenen saldırının en son basamağında ise sisteme yüklenen kötü amaçlı yazılı spesifik bankacılık web sayfalarını tarıyor ve açıldığında siber korsana ele geçirilen bilgisayar üzerinden her türlü finansal işlemi gerçekleştirme imkanı sunuyor.

İlk kez Kasım 2017’de tespit edilen Javali de benzer bir şekilde kötü amaçlı yazılımları e-postalar aracılığıyla bilgisayarlara yüklüyor. Ardından, siber korsanların kontrolündeki sunucu aracılığıyla kullanıcıların hesap ve finansal bilgilerini çalıyor. Javali ile en çok saldırıya uğrayan hedefler, Brezilya ve Meksika’da Bittrex gibi kripto para platformlarını veya Mercado Pago gibi ödeme çözümü hizmetlerini kullanan tüketiciler.

Şifreler ve Bitcoin cüzdanları ele geçiriliyor

Şili ve Meksika’daki hedefler üzerinde 2018’den bu yana kullanılan ve özelleştirilmiş bir RAT (Uzaktan Erişim Aracı) trojanını temsil eden Melcoz, tarayıcılardan şifre çalabildiği gibi Bitcoin cüzdan bilgilerini de ele geçirebiliyor. Melcoz, bunu yaparken Bitcoin cüzdan bilgilerini başka cüzdan bilgileri ile değiştiriyor.

Melcoz trojan, sistemlere kötü amaçlı yazılımları yüklemek için yükleme dosyalarında (.MSI) VBS komut dosyalarını kullanıyor. VBScript, Microsoft’un Visual Basic’e dayanan Active Scriptin yazılım dilini temsil ediyor. Melcoz ardından AutoIt (Microsoft Windows üzerinde çalışan bedava yazılım dili) deşifre programı VMware NAT (bir veya birkaç sanal cihaz ile dış ağ arasında bilgi transferi sağlayan cihaz) aracılığıyla kötü amaçlı DLL’i hedef sisteme yüklüyor.

Bu süreci başarıyla tamamlayan siber korsan, sızdığı bilgisayarın ekranında bir üst ekran oluşturarak arka planda kullanıcının oturumunu kontrol edebiliyor. Böylece ele geçirilen sistem üzerinden finansal işlemler gerçekleştirilirken dolandırıcılık önleyici çözümlerle suçu tespit etmek oldukça zorlaşıyor. Dahası, siber korsan finansal işlem esnasında bankanın talep ettiği kritik bilgileri talep ederek şifre ve iki adımlı doğrulama (2FA) bilgilerini ele geçirebiliyor.

Brezilya, Meksika, Portekiz ve İspanya’da 2016’dan bu yana aktif olan Grandoreiro ise siber korsanlara ele geçirdikleri bilgisayarı kullanarak bankaların güvenlik önlemlerini aşmaları ve dolandırıcılık yapmalarına neden oluşturuyor.

Grandoreiro, bugüne kadar Google web sayfaları üzerinden yayıldığı gibi Google Ads ve oltalama yöntemleri ile de bilgisayar sistemlerine sızmayı başardı. Trojanın bilgisayarlara sızmak için kullandığı bir diğer yöntem, komuta ve kontrol sunucusu (C2) adresini saklamak için Domain Generation Algortihm (DGA) kullanması. Bu algoritmalar, C2 sunucularında buluşma noktası olarak kullanılan alan adları oluşturmak için kullanılıyor.

Güvenlik uzmanları, Brezilyalı siber korsanların diğer ülkelerde operasyonlarını yaygınlaştırmak için ekiplerini MaaS (hizmet olarak kötü amaçlı yazılım) uygulayan yeni suç ortakları ile genişlettiklerini ve kötü amaçlı yazılımlarının talebini yüksek tutmak için yeni yöntemler geliştirdiklerini belirtti.

Siber korsanların siber silahlarını donattıkları en son güncellemeler arasında DGA, şifreli kötü amaçlı yazılım eklentileri, süreç gizleme araçları, DLL hijacking ve güvenlik önlemlerini bypass eden yöntemler yer alıyor. Güvenlik uzmanları, yakın gelecekte bu yöntemlerin daha fazla ülkede daha çok bankayı hedef almak için kullanılacağını düşünüyor.

EK BİLGİLER

Trojan nedir?

Trojan ya da Turuva atı. Adını Yunan mitolojisinden alır. Hikayeye göre iki devletten biri diğerine at şeklinde bir hediye verir. At şeklindeki hediyenin içinden çıkan askerler, gece vakti aşılması çok zor olan şehir kapılarını gizlice açar ve diğer devletin askerleri de içeri kolayca girerek şehri ele geçirir. Trojanın zararlı yazılım hali de buna benzer;

Trojan program dosyasına eklenir, kendini açık etmez, çalıştırıldıkları anda aktif olurlar. Sizi izleyebilir, bilgilerinizi ele geçirebilir, silebilirler.

Trojanlar aşağıdaki sınıflarda incelenir;