Kimlik avı e-postalarında bir bankadan çalınan hassas bilgilerin yem olarak kullanıldığı yeni bir kötü amaçlı yazılım kampanyası gözlemlendi. BitRAT.
Bilinmeyen saldırganın, kurbanları şüpheli Excel eklerini açmaya ikna etmek için ikna edici tuzak mesajlar oluşturmak için bilgileri kullanarak Kolombiyalı bir kooperatif bankasının BT altyapısını ele geçirdiğine inanılıyor.
Keşif, siber güvenlik firması Qualys’ten geliyor. kurmak SQL enjeksiyon hatalarından yararlanılarak elde edildiği söylenen 418.777 kayıt içeren bir veritabanı dökümünün kanıtı.
Sızan ayrıntılar arasında Cédula numaraları (Kolombiya vatandaşlarına verilen ulusal bir kimlik belgesi), e-posta adresleri, telefon numaraları, müşteri adları, ödeme kayıtları, maaş bilgileri ve adresler yer alıyor.
Bilgilerin daha önce darknet veya clear web’deki herhangi bir forumda paylaşıldığına dair hiçbir işaret yok, bu da tehdit aktörlerinin kimlik avı saldırılarını düzenlemek için müşteri verilerine eriştiklerini gösteriyor.
Sızdırılan banka verilerini içeren Excel dosyası, güvenliği ihlal edilmiş ana bilgisayarda BitRAT’ı almak ve yürütmek için yapılandırılmış ikinci aşama DLL yükünü indirmek için kullanılan bir makroyu da içine yerleştirir.
Qualys araştırmacısı Akshat Pradhan, “GitHub’dan %temp% dizinine BitRAT katıştırılmış yüklerini indirmek için WinHTTP kitaplığını kullanıyor” dedi.
Kasım 2022’nin ortalarında oluşturulan GitHub deposu, enfeksiyon zincirlerini tamamlamak için nihai olarak kodu çözülen ve başlatılan karmaşık BitRAT yükleyici örneklerini barındırmak için kullanılır.
Yeraltı forumlarında yalnızca 20 ABD dolarına satılan hazır bir kötü amaçlı yazılım olan BitRAT, veri çalmak, kimlik bilgilerini toplamak, kripto para madenciliği yapmak ve ek ikili dosyalar indirmek için çok çeşitli işlevlerle birlikte gelir.
Pradhan, “Ticari kullanıma hazır RAT’ler, kurbanlarını yaymak ve onlara bulaştırmak için metodolojilerini geliştiriyorlar” dedi. “Ayrıca yüklerini barındırmak için meşru altyapıların kullanımını artırdılar ve savunucuların bunun hesabını vermesi gerekiyor.”