Latin Amerika ülkeleri hedef haline geldi, Mispadu Bankacılık Truva Atı Latin Amerika’yı Hedefliyor!
Mispadu adlı bankacılık truva atı, kimlik bilgilerini ele geçirmek amacıyla Bolivya, Şili, Meksika, Peru ve Portekiz gibi ülkeleri hedef alan birden fazla siber saldırı yaptığı tespit edildi.
Latin Amerika siber güvenlik firması Metabase Q’dan Ocelot Ekibi, Hacker News ile paylaştığı bir raporda, Ağustos 2022’de başlayan faaliyetin şu anda devam ettiğini söyledi.
Mispadu (diğer adıyla URSA) ilk olarak Kasım 2019’da ESET tarafından tespit edildi ve parasal ve kimlik bilgisi hırsızlığı yapma ve ekran görüntüleri alarak ve tuş vuruşlarını yakalayarak backdoor (arka kapı) saldırıları yaptığını söyledi.
Araştırmacılar, “Ana stratejilerinden biri, meşru web sitelerini ele geçirmek, WordPress’in savunmasız sürümlerini tespit etmek, siteler üzerinden kötü amaçlı yazılım yaymak için komuta ve kontrol sunucularına ele geçirerek sunucu üzerinden zararlı yazılım yaymak, istemedikleri ülkeleri filtreleyerek farklı türde kötü amaçlı yazılımlar sisteme yükleyerek ülkeye göre hedef aldıklarını söyledi.
Ayrıca Grandoreiro, Javali ve Lampion gibi bölgeyi hedef alan diğer bankacılık truva atlarıyla benzerlikleri paylaştığı söyleniyor. Delphi kötü amaçlı yazılımını içeren saldırı zincirleri, alıcıları sahte faturalar açmaya çağıran e-posta mesajlarından yararlanarak çok aşamalı saldırı süreci yönetiyor.
Bir kurban spam e-posta yoluyla gönderilen HTML ekini açarsa, dosyanın bir masaüstü cihazdan açıldığını anda ardından ilk aşamadaki kötü amaçlı yazılımı almak için uzak bir sunucuya kullanıcının bilgisayarını yönlendiriyor.
RAR veya ZIP arşivi, başlatıldığında, yasal certutil komut satırı yardımcı programını kötüye kullanarak truva atını deşifre etmek ve yürütmek için biri Mispadu kötü amaçlı yazılımı ve diğeri bir AutoİT yükleyicisi olan sahte dijital sertifikalardan yararlanmak üzere tasarlanmıştır.
İlginizi çekebilecek yazımız.
İlgili Yazı: Kapanan İnstagram Hesabı Açma İçin Yöntemler
Mispadu, güvenliği ihlal edilen ana bilgisayara yüklenen virüsten koruma çözümlerinin listesini toplamak, Google Chrome ve Microsoft Outlook’tan kimlik bilgilerini almak ve ek kötü amaçlı yazılımların alınmasını kolaylaştırmak için yazılmıştır.
Bu, kodlanmış bir etki alanından başka bir yükü indirmeye yarayan, karmaşık bir Visual Basic Komut Dosyası , siber korsan kontrollü bir sunucu tarafından verilen komutları çalıştırabilen .NET tabanlı bir uzaktan erişim aracını ve Rust ile yazılmış bir yükleyiciyi içeririr.
Dahası kötü amaçlı yazılım, çevrimiçi bankacılık portalları ve diğer hassas bilgilerle ilişkili kimlik bilgilerini elde etmek için kötü amaçlı banka sitelerinin ekranlarını kullanır.
Metatabanı Q, sertifika yaklaşımının Mispadu’nun çok çeşitli güvenlik yazılımları tarafından kaçınmasına ve 17.500’den fazla benzersiz web sitesinden 90.000’den fazla banka hesabı kimlik bilgisini toplamasına izin verdiğini belirtti.
Haber kaynağı: The Hacker News