Coyote Bankacılık Truva Atı
Araştırmacılar yakın zamanda 61 çevrimiçi bankacılık uygulamasının kimlik bilgilerini toplamak üzere tasarlanmış 'Coyote' adlı benzersiz bir bankacılık Truva Atı'nı ortaya çıkardı. Coyote tehdidini farklı kılan şey, çoğunluğu Brezilya'da yoğunlaşan bankacılık sektörü uygulamalarını kapsamlı bir şekilde hedeflemesidir. Bu Truva Atı, temel ve gelişmiş bileşenlerin karmaşık birleşimiyle öne çıkıyor. Spesifik olarak, Squirrel adında nispeten yeni bir açık kaynaklı yükleyici kullanıyor, NodeJ'lere güveniyor, daha az yaygın olan 'Nim' programlama dilini kullanıyor ve bir düzineden fazla zararlı işlevselliğe sahip. Bu keşif, Brezilya'nın gelişen finansal kötü amaçlı yazılım pazarında dikkate değer bir ilerlemeye işaret ediyor ve odak noktasının daha da genişlemesi durumunda güvenlik ekipleri için potansiyel olarak önemli zorluklar ortaya çıkarıyor.
İçindekiler
Brezilyalı Siber Suçlular Bankacılık Truva Atı Tehditlerine Odaklandı
Brezilyalı kötü amaçlı yazılım geliştiricileri, en az 2000 yılına kadar uzanan yirmi yılı aşkın bir süredir aktif olarak bankacılık Truva Atları üretiyor. Gelişen kimlik doğrulama yöntemleri ve koruma teknolojilerini ustaca yönlendirip bunların üstesinden geldikleri 24 yıllık sürekli geliştirme süreci boyunca, yaratıcılıkları açıkça görülüyor: en son Truva Atı'nın ortaya çıkışı.
Uzmanlar şu anda Coyote'u öncelikle Brezilyalı tüketicilere odaklanan bir tehdit olarak vurgulasa da kuruluşların potansiyel yeteneklerini yakından takip etmek için ikna edici nedenleri var. Geçmişteki eğilimler, Brezilya pazarında başarılı olan kötü amaçlı yazılım ailelerinin genellikle uluslararası alanda erişimlerini genişlettiğini gösteriyor. Bu nedenle şirketlerin ve bankaların dikkatli olması ve etkisinin artması durumunda Coyote'a karşı hazırlıklı olması gerekiyor.
Güvenlik ekipleri için bir diğer önemli husus, bankacılık Truva atlarının tam teşekküllü ilk erişim Truva atlarına ve arka kapılara dönüşmesindeki tarihsel ilerlemedir. Dikkate değer örnekler arasında Emotet ve Trickbot'un ve daha yakın zamanda QakBot ve Ursinif'in dönüşümleri yer alıyor. Bu model, potansiyel olarak daha karmaşık tehditlere dönüşebilecekleri için yeni bankacılık Truva Atlarının ortaya çıkmasına dikkat etmenin önemini vurguluyor.
Coyote Bankacılık Truva Atı, Zararlı Yeteneklerle Dolu Bir Dalgıçla Donatılmıştır
Coyote, ekran görüntüleri yakalama, tuş vuruşlarını kaydetme, işlemleri sonlandırma, makineyi kapatma ve imleci değiştirme gibi çeşitli komutları gerçekleştirmesine olanak tanıyan gelişmiş bir işlevsellik yelpazesi sergiliyor. Özellikle, yanıltıcı bir 'Güncellemeler üzerinde çalışılıyor…' ekranının kaplanmasıyla makinenin donmasına neden olabilir.
Coyote, genel davranışı itibarıyla modern bir bankacılık Truva Atı'nın tipik modelini takip ediyor. Etkilenen bir sistemde uyumlu bir uygulamanın etkinleştirilmesi üzerine, kötü amaçlı yazılım, saldırganın kontrolündeki Komuta ve Kontrol (C2) sunucusuyla iletişim kurar. Daha sonra, oturum açma bilgilerini yakalamak için kurbanın ekranına ikna edici bir kimlik avı katmanı sunar. Ancak Coyote, olası tespitlere karşı ustaca kaçınma taktikleriyle öne çıkıyor.
Siber güvenlik savunucuları tarafından kolayca tespit edilebilen Windows Installer'ları (MSI) kullanan birçok bankacılık Truva atının aksine Coyote, Squirrel'ı tercih ediyor. Squirrel, Windows masaüstü uygulamalarını yüklemek ve güncellemek için tasarlanmış meşru bir açık kaynaklı araçtır. Coyote, Squirrel'dan yararlanarak kötü niyetli başlangıç aşaması yükleyicisini kamufle etmeye çalışıyor ve onu görünüşte zararsız bir güncelleme paketleyicisi olarak sunuyor.
Nispeten nadir görülen programlama dili 'Nim' ile kodlanan son aşama yükleyici, başka bir benzersizlik katmanı ekler. Bu, Nim kullanılarak bir bankacılık Truva Atı'nın gözlemlendiği ilk örneklerden biri.
Geleneksel olarak, bankacılık Truva atları ağırlıklı olarak çeşitli kötü amaçlı yazılım ailelerinde yaygın olarak kullanılan daha eski bir dil olan Delphi dilinde yazılmıştır. Delphi kötü amaçlı yazılımlarına yönelik tespit yöntemleri yıllar geçtikçe geliştikçe, bulaşmaların etkinliği de giderek azaldı. Nim'in benimsenmesiyle Coyote geliştiricileri, yeni özellikler içeren ve güvenlik yazılımı tarafından daha düşük bir algılama oranına ulaşan daha modern bir programlama dilini benimsiyor.
Bankacılık Truva Atları Yayılarak Küresel Bir Operasyon Haline Geldi
Son yıllarda Brezilya, bankacılık zararlı yazılımlarının küresel merkez üssü haline geldi. Brezilya'da ortaya çıkmasına rağmen, bu tehdit edici programlar okyanusları ve kıtaları geçme yeteneğini gösterdi. Bu tehditlerin arkasındaki usta operatörler, bankacılık Truva Atları geliştirme konusunda geniş deneyime sahip ve saldırılarını küresel ölçekte genişletmeye büyük ilgi gösteriyor. Sonuç olarak araştırmacılar, Avustralya ve Avrupa kadar geniş kapsamlı varlıkları ve bireyleri hedef alan Brezilya banka Truva atlarının örneklerini gözlemledi.
Dikkate değer bir örnek, benzer özelliklere sahip bir Truva atı olan ve yalnızca Meksika ve İspanya'ya başarıyla sızmakla kalmayıp aynı zamanda erişimini bu sınırların çok ötesine genişleten Grandoreiro'dur . Bu tehdit zirve noktasında toplam 41 ülkede varlığını sürdürüyordu.
Ancak bu operasyonların başarısı kolluk kuvvetlerinin daha fazla incelemesine neden oldu. Brezilya polisi, bu tür kötü amaçlı yazılımlara olanak sağlayan siber yeraltı ekosistemini bozmayı amaçlayan dikkate değer bir hamleyle, Brezilya'daki beş eyalette Grandoreiro'dan sorumlu kişileri hedef alan beş geçici tutuklama emri ve 13 arama ve el koyma emrini yürürlüğe koydu.
