A
admin
Guest
Kaspersky araştırmacıları Brezilya’dan çıkan ve Bizarro ismi verilen Truva atının Avrupa ve Güney Amerika ülkelerinden 70 bankayı gaye aldığını keifetti. Geçen yıl Kaspersky araştırmacıları Güney Amerika’dan çıkan (Guildma, Javali, Melcoz ve Grandoreiro) bir fazlaca bankacılık Truva atının operasyonlarını tüm dünyaya genişlettiğini gözlemlemişti. Toplu şekilde “Tétrade” olarak tanınan bu aile, çeşitli yenilikçi ve sofistike teknikler kullanımıyla biliniyor. 2021’de yeni bir lokal oyuncu olarak listeye eklenen Bizarro, bu globalleşme akınının bir devamı niteliğinde.
Bizarro, Brezilya’da ortaya çıkan ve şu anda Arjantin, Şili, Almanya, İspanya, Portekiz, Fransa ve İtalya üzere öteki ülkelerde de görülen yeni bir bankacılık Truva atı ailesi. Tıpkı Tétrade üzere Bizarro da hücumlarını operasyonel hale getirmek, nakde çevirmek yahut yalnızca aracılık yapmak için bağlı şirketleri yahut para taşıyıcılarını kullanıyor. bununla birlikte berbat hedefli yazılım ailesinin ardındaki siber hatalılar, makus emelli yazılım tahlilini ve tespitini zorlaştırmak için çeşitli tekniklerle ve metotlarla gayelerini çevrimiçi bankacılık kimlik ayrıntılarını vermeye ikna etmeye yardımcı olacak toplumsal mühendislik formlarına başvuruyor.
Bizarro, mağdurlar tarafınca istenmeyen e-posta ilişkilerinden indirilen MSI (Microsoft Installer) paketleri aracılığıyla dağıtılıyor. Bizarro başlatıldığında, öteki makûs gayeli fonksiyonlarını uygulamak için güvenliği ihlal edilmiş bir web sitesinden ZIP arşivi indiriyor. Dataları telemetri sunucusuna gönderdikten daha sonra Bizarro, ekran yakalama modülünü başlatıyor. Şimdiye kadar Kaspersky uzmanları, Bizarro’nun berbat maksatlı yazılımları depolamak ve telemetri toplamak için Azure, Amazon’da barındırılan sunucular ve güvenliği ihlal edilmiş WordPress sunucularını kullandığını tespit etti.
Kaspersky araştırmacıları, art kapının Bizarro’nun temel bileşeni olduğunu vurguluyor. Bu art kapı 100’den çok komut içeriyor ve birden fazla kullanıcılara uydurma bildiriler göstermek için kullanılıyor. Hatta kimileri çevrimiçi bankacılık sistemlerini taklit etmeye çalışıyor.
Kaspersky Güvenlik Uzmanı Fabio Assolini şunları söz ediyor: “Siber hatalılar daima olarak e-ödeme ve çevrimiçi bankacılık sistemleri için kimlik ayrıntılarını çalan makûs emelli yazılımları yaymanın yeni yollarını arıyorlar. Bugün bankacılık berbat emelli yazılım dağıtımında ezber bozan bir eğilime şahit oluyoruz. Bölgesel aktörler sadece kendi bölgelerinde değil, tüm dünyada kullanıcılara etkin olarak saldırıyor. Yeni teknikler uygulayan Brezilyalı makus emelli yazılım aileleri öteki kıtalara da yayılmaya başladı. Avrupa’dan kullanıcıları hedefleyen Bizarro bunun en açık örneği. Bu durumu bölgesel hatalıların tahliline ve lokal tehdit istihbaratına daha fazla vurgu yapmanın bir işareti olarak görüyoruz.”
Bizarro’nun teknik özellikleri hakkında daha fazla bilgiyi Securelist.com’da bulabilirsiniz.
Finans kurumlarını Bizarro (ve diğerleri) üzere bankacılık Truva atlarından korumak için Kaspersky güvenlik uzmanları şunları öneriyor:
Bizarro, Brezilya’da ortaya çıkan ve şu anda Arjantin, Şili, Almanya, İspanya, Portekiz, Fransa ve İtalya üzere öteki ülkelerde de görülen yeni bir bankacılık Truva atı ailesi. Tıpkı Tétrade üzere Bizarro da hücumlarını operasyonel hale getirmek, nakde çevirmek yahut yalnızca aracılık yapmak için bağlı şirketleri yahut para taşıyıcılarını kullanıyor. bununla birlikte berbat hedefli yazılım ailesinin ardındaki siber hatalılar, makus emelli yazılım tahlilini ve tespitini zorlaştırmak için çeşitli tekniklerle ve metotlarla gayelerini çevrimiçi bankacılık kimlik ayrıntılarını vermeye ikna etmeye yardımcı olacak toplumsal mühendislik formlarına başvuruyor.
Bizarro, mağdurlar tarafınca istenmeyen e-posta ilişkilerinden indirilen MSI (Microsoft Installer) paketleri aracılığıyla dağıtılıyor. Bizarro başlatıldığında, öteki makûs gayeli fonksiyonlarını uygulamak için güvenliği ihlal edilmiş bir web sitesinden ZIP arşivi indiriyor. Dataları telemetri sunucusuna gönderdikten daha sonra Bizarro, ekran yakalama modülünü başlatıyor. Şimdiye kadar Kaspersky uzmanları, Bizarro’nun berbat maksatlı yazılımları depolamak ve telemetri toplamak için Azure, Amazon’da barındırılan sunucular ve güvenliği ihlal edilmiş WordPress sunucularını kullandığını tespit etti.
Kaspersky araştırmacıları, art kapının Bizarro’nun temel bileşeni olduğunu vurguluyor. Bu art kapı 100’den çok komut içeriyor ve birden fazla kullanıcılara uydurma bildiriler göstermek için kullanılıyor. Hatta kimileri çevrimiçi bankacılık sistemlerini taklit etmeye çalışıyor.
Kaspersky Güvenlik Uzmanı Fabio Assolini şunları söz ediyor: “Siber hatalılar daima olarak e-ödeme ve çevrimiçi bankacılık sistemleri için kimlik ayrıntılarını çalan makûs emelli yazılımları yaymanın yeni yollarını arıyorlar. Bugün bankacılık berbat emelli yazılım dağıtımında ezber bozan bir eğilime şahit oluyoruz. Bölgesel aktörler sadece kendi bölgelerinde değil, tüm dünyada kullanıcılara etkin olarak saldırıyor. Yeni teknikler uygulayan Brezilyalı makus emelli yazılım aileleri öteki kıtalara da yayılmaya başladı. Avrupa’dan kullanıcıları hedefleyen Bizarro bunun en açık örneği. Bu durumu bölgesel hatalıların tahliline ve lokal tehdit istihbaratına daha fazla vurgu yapmanın bir işareti olarak görüyoruz.”
Bizarro’nun teknik özellikleri hakkında daha fazla bilgiyi Securelist.com’da bulabilirsiniz.
Finans kurumlarını Bizarro (ve diğerleri) üzere bankacılık Truva atlarından korumak için Kaspersky güvenlik uzmanları şunları öneriyor:
- SOC takımınızın siber hatalılar tarafınca kullanılan yeni araçlar ve teknikler konusunda yeni kalmalarını sağlamak için en son tehdit istihbaratına erişimini sağlayın. Kaspersky Financial Threat Intelligence Reporting IoC’leri, Yara kurallarını ve bu tehditler için hash’leri içerir.
- GReAT uzmanları tarafınca geliştirilen Kaspersky çevrimiçi eğitimiyle en son hedeflenen tehditlerin üstesinden gelmek için SOC grubunuzu güçlendirin.
- Müşterilerinizi makus niyetli bireylerin kullanabileceği mümkün hileler ve sahtekarlıklar konusunda eğitin. Dolandırıcılığın nasıl tespit edileceği ve bu durumda nasıl davranılacağı konusunda onları sistemli olarak bilgilendirin.
- Karmaşık dolandırıcılık hadiselerini tespit edebilen bir dolandırıcılık tedbire tahlili kullanın. Örneğin oturum tabanlı bir dolandırıcılık tedbire tahlili olan Kaspersky Fraud Prevention, finansal hırsızlığın giriş etabında sırf makus emelli teşebbüslerle (JavaScript yerleştirme, bilinmeyen Uzaktan İdare Araçları teması ve web sitesi kullanması) çaba etmekle kalmaz, bununla birlikte hesaplardaki sıra dışı davranışları ve toplumsal mühendislik teşebbüslerini de tespit edebilir.