Haberler
Numando Adlı Yeni Bir Banka Trojanı, YouTube Uzaktan Erişim Ayarlarına Müdahale Ediyor
Siber güvenlik uzmanları, bir banka trojanının YouTube, Pastebin ve bazı kamu platformlarında yayılarak cihazları ele geçirmeye çalıştığını tespit etti.
Latin Amerika’da tespit edilen yeni bir kötü amaçlı yazılımın Janeleiro, Casbaneiro, Grandoreiro ve Mekotio kötü amaçlı yazılımlarına benzerlik gösterdiği belirtildi. Numando adı verilen kötü amaçlı yazılımın farklılığı sadece ortaya çıktığı bölge ile sınırlı kalması değil, Brezilya, Meksika ve İspanya’ya da sıçramış olması.
Numando’nun 2018’den bu yana faaliyette olduğu biliniyor. Delphi diliyle yazılan finansal trojan, bilgisayar ekranlarında sahte pencereler açarak hassas bilgilerin girilmesi için kullanıcıları aldatıyor. Güvenlik uzmanları, Numando’nun birçok bankacılık trojanı gibi spam ve oltalama saldırıları yoluyla yayıldığı biliniyor.
Teknik detaylar…
Numando içerikli spam’lerde bir oltalama mesajı ve indirilmesi amaçlanan bir .zip dosyası yer alıyor.
Sahte .zip dosyası ile gerçek bir .zip dosyası indirildiğinde, .CAB arşivi ile entegre orijinal yazılım, taşıyıcı ve trojan da indirilmiş oluyor. Kötü amaçlı yazılım geniş bir .BMP dosyası içinde yer alıyor.
Yüklenmesinin ardından trojan XOR algoritması ve bir anahtar kullanarak deşifre oluyor. Bilgisayara yüklendiğinde, Numando bilgisayar ekranında sahte finansal pencereler oluşturuyor. Hassas bilgiler girilmesi halinde siber korsanların kontrolündeki kumanda ve kontrol (C2) sunucusuna iletiliyorlar.
Numando aynı zamanda Pastebin ve YouTube gibi kamu hizmetlerini de taciz ederek uzaktan düzenleme ayarlarına sızıyor. Uzaktan erişim sağlamaya çalıştığında ikili dizin halinde bir anahtar kullanıyor. Deşifre anahtarını çok sık değiştirmemesi sayesinde ise sızıntıların deşifre edilmesi mümkün olabiliyor.
YouTube, Numando tarafından etkilenen videolar hakkında uyarıldı ve söz konusu içeriklerin kaldırıldığı belirtildi. Bilgisayar sistemlerine sızmayı başardığı zaman Numando; sahte fare tıklaması, klavye eylemleri gerçekleştirebiliyor. Dahası, PC açma-kapama ve yeniden başlatma özelliğini kontrol edebiliyor, ekran görüntüsü alabiliyor ve tarayıcı süreçlerini sonlandırabiliyor.
Güvenlik uzmanları, diğer Latin Amerika bankacılık trojanlarına kıyasla Numando’nun gelişmişlik seviyesinin genelde aynı kaldığını ve zaman içinde sadece küçük güncellemeler tespit ettiklerini bildirdi.
Etkisi yüksek en son bankacılık trojanlarından bir tanesi, Mayıs ayında Avrupa’da tespit edilen Bizarro olmuştu. Trojan, Brezilya, Arjantin ve Şili’de en az 70 bankanın müşterilerine sorun çıkardıktan sonra Avrupa’ya sıçramıştı.
