“Grandoreiro” olarak bilinen Brezilya bankacılık kötü amaçlı yazılımı, TA2725’in İspanya’nın yanı sıra Brezilya ve Meksika’daki müşterileri hedef alan yeni bir kampanyasıyla göleti aştı.
Latin Amerika’daki Dark Web etkinliği son iki yılda arttı ve büyük ölçüde iki ülkede yoğunlaştı. SOCRadar’a göre2022’de bölgede 360 milyar siber saldırı girişimi yaşandı; bunların 187 milyarı Meksika’yı, 103 milyarı ise Brezilya’yı etkiledi.
Artık Latin Amerika’daki siber suçların dışarıya doğru yayıldığına dair kanıtlar artıyor.
Proofpoint, TA2725’i Mart 2022’den bu yana takip ediyor. Banka hesabını ve kredi kartı koklama kötü amaçlı yazılımlarını, öncelikle kendi ülkesindeki veya Meksika’daki kuruluşlara yönelik kimlik avı e-postalarının içinde gizlediği biliniyor. Ve yeni bir blog gönderisine göre Proofpoint’in kıdemli tehdit araştırmacısı Jared Peck tarafından yazılana göre grup yakın zamanda kendine özgü kötü amaçlı yazılımını Atlantik’in her iki yakasındaki kurumları da kapsayacak şekilde yükseltti.
İspanya’daki Brezilya Kötü Amaçlı Yazılımı
Grandoreiro saldırıları, kimlik avı e-postasındaki kötü amaçlı bir URL ile başlar. Yemler, sahte paylaşılan belge, elektrik faturası, vergi formu vb. biçiminde gelebilir. URL, çalıştırıldığında yasal ancak savunmasız bir uygulamayı indiren bir yükleyici içeren bir ZIP dosyasına yönlendirir. Uygulama bazı DLL yan yüklemeleriyle kullanılır ve ardından son yük gelir.
Grandoreiro, bir keylogger, ekran yakalayıcı veya çevrimiçi bankacılık giriş sayfasının üstündeki eski moda bir katman aracılığıyla verileri toplayabilir. Bu katmanlar popüler Brezilya ve Meksika bankalarının yanı sıra Ağustos ayının sonlarında gözlemlenen iki kampanyada İspanya’da bulunan bankaları taklit ediyor. (TA2725’in kimlik avı tuzakları da İspanya merkezli kuruluşları taklit edecek şekilde çeşitlendirildi.)
Bu, Brezilya Truva atlarının Atlantik’i aştığı ilk sefer değil. Örneğin bu yılın başlarında tehdit aktörleri Pedro Cabal’ı tersine çevirerek “Magalenha Operasyonu” adlı bir kampanyayla Portekizli banka müşterilerini boyunduruk altına aldı. Bu son etkinlik, Brezilya’daki kötü amaçlı yazılımların artık tek bir kıtada sınırlı olmadığı yönündeki yeni ortaya çıkan eğilimi daha da ileriye taşıyor.
Brezilya Siber Suçları Neden Bir An Yaşıyor?
Bir zamanlar yalnızca kuzey yarımkürenin etki alanı gibi görünen bankacılık truva atları, son yıllarda Brezilya’da da yaygınlaştı. Peck’e göre bunun birkaç nedeni var.
“Brezilya, Güney Amerika ve Latin Amerika’nın diğer bölgeleri gibi dünyanın birçok yerindeki genel nüfus, siber güvenlik eğitimi ve koruma teknolojisine dünyanın diğer bölgeleriyle aynı erişime sahip olmayabilir, ancak çevrimiçi nüfuslarını artırmaya devam ediyor.” Bu durum, kimlik avı ve kötü amaçlı yazılım tehditleri konusunda kullanıcı farkındalığının eksikliğine yol açıyor ve bu da daha fazla sayıda kurbanın tıklayıp etkilenmesine yol açıyor” diye açıklıyor ve şunu ekliyor: “Bu genel nüfus yukarı doğru hareket ediyor ve lider daha geniş bir orta sınıfa hitap ediyor, dolayısıyla daha geniş bir nüfus havuzunu mağdur etme fırsatı daha fazla oluyor.”
Proofpoint’e göre, Grandoreiro’nun yanı sıra Casabeniero, Javali ve Mekotio da dahil olmak üzere en yaygın kötü amaçlı yazılım aileleri ortak bir kökene sahiptir: kaynak kodu bileşenlerinin nesiller boyunca aktarıldığı ve değiştirildiği Delphi tabanlı bir ata.
Etkilenen ülkelerdeki kuruluşlar aynı unsurları içeren şüpheli programlara dikkat edebilir. Veya Peck’in vurguladığı gibi bu tür tavizlerin insani yönüne odaklanabilirler.
“Günümüzün siber tehditleri, yalnızca teknik istismarlara değil, insan etkileşimine de dayanıyor; bu nedenle kuruluşların, kötü amaçlı kimlik avı ve tehdit aktörü taktiklerini, tekniklerini ve prosedürlerini belirlemeye yönelik yerelleştirilmiş kullanıcı güvenliği farkındalığı eğitimini birleştirmesi ve aynı zamanda kullanıcıların şüphelerini bile bildirme konusunda kendilerini rahat hissetmelerini sağlamaları çok önemli. bir saldırının kurbanı olmuş olabilirler” diye tavsiyede bulunuyor.
