Mekotio ve Grandoreiro İsimli Bankacılık Truva Atlarının Arkasındaki 16 Siber Suçlu İspanya’da Tutuklandı

Yapılan resmi açıklamaya göre tutuklamalar, “Aguas Vivas” kod adlı bir yıl süren soruşturmanın ardından Ribeira (A Coruña), Madrid, Parla ve Móstoles (Madrid), Seseña (Toledo), Villafranca de los barros (Badajoz) ve Aranda de Duero’da (Burgos) gerçekleştirildi.

Yetkililer, “Kurbanların bilgisayarlarına ‘e-posta sahtekarlığı’ olarak bilinen teknikle yüklenen kötü amaçlı yazılımlar ile saldırganların hesaplarına büyük miktarda para aktardıklarını açıkladı.

Tutuklamalar ile birlikte bilgisayar ekipmanlarına, cep telefonlarına ve belgelere el konuldu ve bin 800’den fazla istenmeyen e-posta analiz edildi. Bu sayede 3,5 milyon Euro tutarındaki paranın aktarılması engellenmiş oldu. Saldırı girişiminin siber korsanlara yasa dışı şekilde 276 bin 470 Euro kazandırdığı ve bunun 87 bininin başarıyla geri alındığı ifade edildi.

Siber korsanlar kimlik avı saldırıları ile ilgili şüphe çekmemek amacı ile operatör sağlayıcı, meşru paket dağıtım hizmetleri ve Hazine gibi devlet kurumları kisvesi altında e-postalar göndererek çalıştı ve alıcıları sistemlere gizlice kötü amaçlı yazılım indiren bir bağlantıya tıklamaya çağırdı.

“Mekotio” ve “Grandoreiro” olarak adlandırılan kötü amaçlı yazılımlar, bir bankacılık web sitesindeki işlemleri ele geçirerek, saldırganların kontrolü altındaki hesaplara yetkisiz olarak para çekmek için sızdı. Bu tür hileli transferleri kolaylaştırmak için resmi kurumlara ait en az 68 e-posta hesabına virüs bulaştı. Yetkililer, söz konusu saldırı kurgusunda olası polis soruşturmasını engellemek için başka hesaplara para gönderilerek veya ATM’lerden nakit çekilerek, BİZUM, REVOLUT kartlarıyla vb. transferler yapılarak aktarım çeşitlendirilmiş oldu.

Latin Amerika bankalarını hedef almak için tasarlandılar

Bir siber güvenlik şirketi Temmuz 2020’de Grandoreiro ve Mekotio (aka Melcoz)’nun, Brezilya menşeili bankacılık truva atları “Tetrade”in bir parçası olduğunu aktarmış, sonrasında Grandoreiro ve Mekotio Ağustos 2020’de ifşa edilmişti. İfşayı sağlayan Slovak siber güvenlik firması, Grandoreiro ve Mekotio’nun, Latin Amerika bankalarını ve diğer finans kurumlarını hedef almak için dikkatle tasarlandığını ifade etmişti.

En az 2016’dan beri faaliyette olan ve saldırganların düzenli olarak teknikleri geliştirerek, daha uzun süre fark edilmeden aktif kalmaya çalıştığı Grandoreiro’nun geçmişinde Brezilya, Meksika, İspanya, Portekiz ve Türkiye’yi hedeflediği kaydediliyor. Mekotio ise Şili, Meksika ve İspanya’ya yayılmadan önce Brezilya’yı hedef alan ve 2018 yılına dayanan saldırılarda gözlemlendi.