İtalya bankalarının başı dertte, DrIBAN Malware, İtalyan bankacılığını hedefliyor..
En az 2019’dan beri İtalyan kurumsal bankacılık müşterilerini hedefleyen yeni bir finansal dolandırıcılık kampanyası belirlendi. Kampanya, finansal işlemler sırasında lehtar hesap ayrıntılarını değiştirebilen DrIBAN Malware adlı yeni bir web-inject araç seti kullanıyor. Bu, dolandırıcıların aktarılan tutarı gayri meşru banka hesaplarına çekmesine olanak tanır.
Dolandırıcılık Kampanyasına Derin Bakış
Cleafy araştırmacıları, kampanyanın 2019’da İtalyan Kurumsal Bankalarını hedef alarak başladığını ve ardından 2020’de durduğunu bildirdi. 2021’de binlerce kurbanı vuran yeni bir kampanya gözlemlendi ve bugüne kadar devam ettiğine inanılıyor.
İlginizi çekebilecek yazımız: FluHorse Trojanı Android Telefonları Tehdit Ediyor
- Dört yıl boyunca operatörler, daha iyi sosyal mühendislik taktikleri ve tespit edilmekten kaçınırken hedeflenen ağda daha uzun süre tutunmayı içeren taktiklerini çeşitli yönlerden kademeli olarak geliştirdiler.
- Saldırganlar, bankalar tarafından kullanılan MFA ve SCA gibi dolandırıcılığa karşı güvenlik sistemlerini atlamak için genellikle Otomatik Transfer Sistemi (ATS) tekniğini kullanır.
- DrIBAN dolandırıcılık operasyonları, bankalardaki Windows iş istasyonlarını hedef alarak meşru banka bilgilerini saldırganlar veya onların bağlı kuruluşları tarafından kontrol edilen hesaplarınkilerle değiştirmeye çalışır.
Saldırı Aşaması
- Saldırı, potansiyel kurbanları kandırmak amacıyla sertifikalı bir e-posta veya PEC (İtalya’da kayıtlı postanın yasal eşdeğeri olarak kullanılan özel bir e-posta türü) ile başlar.
- Bu kimlik avı e-postaları, PowerShell tabanlı bir keşif aracı olan sLoad’u virüslü bilgisayara indirmek için tasarlanmış yürütülebilir bir dosya taşır.
sLoad, sistem bilgilerini toplar ve virüslü makinenin daha ayrıntılı analizi için bu bilgileri dışarı sızdırır. BITSAdmin ve - PowerShell gibi gerçek araçları kötüye kullanan Living-off-the-land (LotL) tekniklerinden yararlanır.
Hedef karlı bulunursa, bir sonraki aşama yükü olarak Ramnit bankacılık truva atı bırakılır.
Sonuç
DrIBAN Malware kampanyasının operatörleri, ATS ve LotL tekniklerini kullanıyor ve bu da onları geleneksel imza tabanlı güvenlik sistemleri için neredeyse görünmez kılıyor. Ayrıca, taktikleri daha da geliştirmeye yönelik yavaş ve istikrarlı yaklaşımıyla, araç seti kısa sürede güvenlik kurumları için bir kabusa dönüşebilir. Korunmaya devam etmek için kuruluşların gelişen tehditlerin farkında olmaları ve güvenlik duruşlarını geliştirmek için sürekli çaba göstermeleri önerilir.
Haber Kaynağı: Cyware Social