Rusça konuşan bir siber suç grubunun, çalmak için bilgi çalan güçlü kötü amaçlı yazılımları yazım yanlışı yapılmış alan adlarıyla birleştirdiği gözlemlendi. (yeni sekmede açılır) bankacılık siteleri için giriş verileri. Kampanya, siber güvenlik uzmanları Hold Security tarafından tespit edildi ve KrebsOnSecurity tarafından rapor edildi.
Rapora göre, Disneyland Ekibi olarak bilinen grup, bilgisayar verilerini çalabilen, kullanıcı kimlik bilgilerini ve finansal bilgileri toplayabilen ve ek kötü amaçlı yazılım dağıtabilen Gozi 2.0 (AKA Ursnif) adlı güçlü bir bankacılık kötü amaçlı yazılım bulaşmış kişileri hedefliyor.
Ancak, tarayıcı üreticileri yıllar boyunca onu geçersiz kılmak için çeşitli güvenlik önlemleri getirdiklerinden, Gozi tek başına artık onu kesmeyecek. Ancak burada typequatting devreye giriyor – meşru sitelerin yaygın yazım hataları olan alan adlarıyla kimlik avı web siteleri oluşturmak.
Gozi’ye yardım etmek
KrebsOnSecurity’ye göre: “Geçmiş yıllarda, bunun gibi dolandırıcılar, Gozi kurbanlarının bankalarının sitesini ziyaret ettiklerinde Web tarayıcılarında gördüklerini manipüle etmek için özel yapım “web enjeksiyonları” kullanırdı.”
Bunlar daha sonra “kullanıcıların web tabanlı bir forma gireceği kullanıcı adı ve parola gibi herhangi bir veriyi kopyalayabilir ve/veya yakalayabilir. Bununla birlikte, çoğu Web tarayıcısı üreticisi, bu tür alçakça etkinlikleri engellemek için güvenlik korumaları eklemek için yıllarını harcamıştır.”
Saldırganlar, Gozi’den faydalanmak için yazım hatası yapılan alan adlarına sahte banka siteleri de ekledi. Bu tür alan adlarına örnek olarak ushank verilebilir.[.]com (usbank.com’u yanlış yazan kişileri hedeflemek) veya ạmeriprisẹ[.]com (ameriprise.com’u ziyaret eden kişileri hedefleme).
a ve e harflerinin altında küçük noktalar fark edeceksiniz ve bunların ekranınızdaki toz zerreleri olduğunu düşünseydiniz, bu numaraya ilk kanan siz olmazdınız. Bunlar teknik özellikler değil, tarayıcının Latince olarak işlediği Kiril harfleridir.
Böylece kurban bu sahte banka web sitelerini ziyaret ettiğinde, kurbanın yazdığı her şeyi asıl bankanın web sitesine yönlendirirken bir kopyasını kendisine saklayan kötü amaçlı yazılımla kaplanır.
Bu şekilde, gerçek banka web sitesi bir çok faktörlü kimlik doğrulama (MFA) isteğiyle geri döndüğünde, sahte web sitesi de bunu isteyecek ve MFA’yı etkili bir şekilde işe yaramaz hale getirecektir.
Aracılığıyla: KrebsOnGüvenlik (yeni sekmede açılır)