Kaspersky yeni Grandoreiro light varyantını ortaya çıkardı

Grandoreiro, değerli operatörleri 2024’ün başlarında tutuklanmasına karşın ortakları tarafından yeni kampanyalarda kullanılmaya devam ediyor. Kaspersky Küresel Araştırma ve Tahlil takımı (GReAT), atağın Meksika’ya odaklanan ve yaklaşık 30 bankayı gaye alan yeni bir hafif sürümünü keşfetti. Bu bulguların ayrıntıları Güvenlik Analistleri Tepesi (SAS) 2024’te paylaşılacak. Global olarak en faal tehditlerden biri olmaya devam eden ve 1.700’den fazla bankanın kullanıcılarını amaç alan Grandoreiro varyantları, bu yılki bankacılık trojan hücumlarının yaklaşık yüzde beşini oluşturuyor. Meksika, bu yıl kaydedilen 51 bin olayla, yeni hafif sürüm de dahil olmak üzere çeşitli Grandoreiro varyantları tarafından en çok maksat alınan ülkelerden biri oldu.

Kaspersky bilgileri Grandoreiro’nun 2016’dan beri faal olduğunu gösteriyor. Tehdit, 2024 yılında 45 ülke ve bölgede 1.700’den fazla finans kurumunu ve 276 kripto para cüzdanını amaç aldı ve son olarak Asya ve Afrika’yı da maksat listesine ekleyerek gerçek manada global bir finans tehdidi haline geldi.

Kaspersky, Brezilyalı yetkililerin Grandoreiro bankacılık Truva atı operasyonunun ardındaki operatörleri tutuklamasına yol açan INTERPOL koordineli bir operasyona yardımcı olduktan sonra, kümenin kod tabanını akınlarına devam etmek için Truva atının daha hafif, parçalanmış sürümlerine ayrıldığını keşfetti. Son tahliller, öncelikle Meksika’ya odaklanan ve yaklaşık 30 finans kurumunu gaye almak için kullanılan bir hafifletilmiş sürüm tespit etti. Bu sürümün yaratıcıları muhtemelen kaynak koduna erişebiliyor ve kolaylaştırılmış eski makûs maksatlı yazılımı kullanarak yeni akın kampanyları başlatıyorlar.

Kaspersky Latin Amerika (GReAT) Başkanı Fabio Assolini, şunları söylüyor: “Tüm bu son gelişmeler tehdidin evrim geçiren tabiatının altını çiziyor. Parçalanmış ve daha hafif sürümler, Meksika’nın ötesine ve Latin Amerika dahil olmak üzere başka bölgelere yayılabilecek bir eğilimi temsil edebilir. Fakat, sırf birtakım sağlam iştiraklerin bu tıp hafif sürümleri geliştirmek için makus gayeli yazılım kaynak koduna erişimi olduğuna inanıyoruz. Grandoreiro, alışık olduğumuz klasik ‘Hizmet Olarak Makûs Gayeli Yazılım’ modelinden farklı bir biçimde çalışıyor. Yeraltı forumlarında Grandoreiro paketini satan duyurular bulamazsınız. Bunun yerine, erişimi hudutlu görünüyor.”

Yeni hafif sürüm ve öncül ziyanlı yazılım da dahil olmak üzere Grandoreiro’nun birden fazla varyantı, 2024 yılında Kaspersky tarafından tespit edilen global bankacılık Truva atı akınlarının yaklaşık %5’ini oluşturdu ve bu da onu dünya çapındaki en faal tehditlerden biri haline getirdi. Kaspersky, öncül Grandoreiro’nun 2024’teki yeni örneklerini de tahlil etti ve yeni taktikler gözlemledi. Atak, davranışları tahlil eden makine tahsili tabanlı güvenlik sistemleri tarafından tespit edilmekten kaçınmak hedefiyle gerçek kullanıcı davranışlarını taklit etmek üzere fare aktifliğini kaydediyor. Ziyanlı yazılım, akabinde bu kaydettiği doğal fare hareketlerini tekrar oynatarak dolandırıcılıkla uğraş araçlarını kandırmayı ve aktivitelerini yasal olarak görmelerini sağlamayı amaçlıyor.

Ayrıca Grandoreiro, Kaspersky’nin ziyanlı yazılımlarda daha evvel rastlamadığı Şifreli Metin Çalma (CTS) olarak bilinen bir kriptografik tekniği benimsemiş durumda. Burada maksat, makus maksatlı kod dizelerini şifrelemek. “Grandoreiro büyük ve karmaşık bir yapıya sahip. Şayet dizeleri şifrelenmemiş olsaydı bu güvenlik araçlarının ve analistlerin tespit etmesini kolaylaştırırdı. Muhtemelen ataklarının tespit ve tahlilini zorlaştırmak için bu yeni tekniği uygulamaya koydular” diyor Fabio Assolini.

Grandoreiro’nun yeni enfeksiyon akışı

Kaspersky güvenlik uzmanları, finansal ziyanlı yazılımlardan korunmak için şirketlere aşağıdakileri öneriyor:

• Özellikle finans departmanlarındaki kritik kullanıcı profilleri için Varsayılan Reddetme siyasetini aktifleştirin. Bu, sırf yasal web kaynaklarına erişilebilmesini sağlar.
• Personelinize, bilhassa de muhasebeden sorumlu çalışanlara kimlik avı sayfalarının nasıl tespit edileceğine ait talimatları içeren siber güvenlik farkındalık eğitimi verin.
• Kimlik avı e-postası yoluyla bulaşma mümkünlüğünü azaltmak için Kaspersky Security for Mail Server üzere kimlik avı tedbire özelliklerine sahip posta sunucuları için müdafaa tahlilleri kullanın.

Bankaların müşterilerini eğitme konusunda yapabilecekleri ise şunlar:

• Beklenmedik yahut kuşkulu görünen iletilerde yer alan temasları yahut evrakları asla açmayın. Hakikat web adresinden arayüz ayrıntılarına kadar girdiğiniz web sayfalarına dikkat edin.
• Dijital varlıkları çok çeşitli finansal siber tehditlere karşı koruyan Kaspersky Premium gibi sağlam bir güvenlik tahlili kullanın.
• Yalnızca emniyetli kaynaklardan edinilen uygulamaları yükleyin. Uygulamalar tarafından talep edilen hakları yahut müsaadeleri, öncelikle uygulamanın özellik setiyle eşleştiğinden emin olmadan onaylamaktan kaçının.
• Kullanılan tüm yazılımlar için en son güncellemeleri ve yamaları yükleyin.

Securelist’te daha fazla bilgi bulabilirsiniz. Kapsamlı Grandoreiro tahlili ve genel bakışı, GReAT tarafından Kaspersky’nin 22-25 Ekim 2024 tarihleri ortasında Bali’de gerçekleştireceği on altıncı Güvenlik Analisti Doruğu’nda (SAS) sunulacak.

Kaynak: (BYZHA) Beyaz Haber Ajansı