Giriş
Son dönemde Meksika bankaları, fintech şirketleri, ödeme işlemcileri ve kripto para borsalarını hedef alan yeni bir dolandırıcılık operasyonu ortaya çıktı. Bu durum, siber güvenlik tehditleri açısından kritik bir öneme sahip, çünkü kullanıcıların finansal bilgileri tehlikeye atılıyor.
Saldırı Nasıl Çalışıyor?
Olay, Elastic Security Labs tarafından REF6045 adı altında izlenmektedir ve kurbanları sahte CAPTCHA doğrulama sayfaları aracılığıyla hedef almaktadır. Bu sayfalarda, kurbanlar hileli bir komutu çalıştırmaya ikna edilerek SCMBANKER olarak bilinen kötü amaçlı bir PowerShell aracını yüklemeye yönlendirilmektedir. Kötü amaçlı yazılımın bazı bileşenleri Ekim 2025 tarihine kadar uzanmaktadır.
Kurbanın bilgisayarına yerleştirilen SCMBANKER, bankacılık oturumları açıldığı anda operatörlere önemli bilgiler sunma yeteneğine sahiptir. Operatörler, sahte bir banka uyarısı arkasında ekranı kilitleyebilir, kurbanları canlı telefon etkileşimlerine yönlendirebilir, tarayıcıyı yeniden yönlendirebilir veya panoya kopyalanan hesap numaralarını değiştirebilir. Ayrıca, tam bir kontrol sağlamak için ticari bir uzaktan erişim aracı da dağıtma yeteneği vardır.
Etkilenen Sistemler
SCMBANKER, özellikle Meksika’nın finansal ekosistemini hedef almak üzere tasarlanmıştır ve büyük bir dil modeli (LLM) kullanarak geniş bir araç seti geliştirilmiştir. Bu araç seti, şu yetenekleri desteklemektedir:
- Bankacılık oturumlarının izlenmesi
- Ekran görüntüsü alımı
- Vishing üzerine sahte katmanlar
- Phishing yönlendirmeleri
- Pano manipülasyonu
- Uzaktan Kullanım kurulumları
Elastic’in bulguları, REF6045 altyapısındaki bir güvenlik açığı sayesinde elde edilen, operasyonun tam web kök dizinini içeren bir ZIP arşivinin geri alınmasını mümkün kılmıştır. Bu durum, saldırının yapısının daha iyi anlaşılmasına katkı sağlamaktadır.
Çözüm ve Korunma
Saldırı süreci, sahte bir CAPTCHA kontrolü ile başlamaktadır. Kurbanlar, güvenlik doğrulama sayfasında bir güvenlik mesajı aşmak için hileli bir komut girmeleri konusunda ikna edilmektedirler. Bu durum, kurbanları yanlış bir şekilde kötü amaçlı yazılımı aktif hale getirmeye yönlendirmektedir. Bu süreçte dikkat edilmesi gereken noktalar:
- Güvenlik yazılımlarını güncel tutmak
- Ağda izinsiz portları kapatmak
- Güvenlik duvarı ve diğer koruma önlemlerini etkin hale getirmek
Bu tür kötü amaçlı yazılımlara karşı alınacak en iyi önlem, işletim sistemini ve tüm yazılımları düzenli olarak güncellemek ve bilinmeyen veya şüpheli bağlantılara tıklamaktan kaçınmaktır.
Sonuç
Kullanıcıların bu tür dolandırıcılıklara karşı dikkatli olması ve yukarıda belirtilen güvenlik önlemlerine uyması önemlidir. Anlık güncellemeler, port kapatılması ve etkili bir güvenlik yazılımı kullanımı, bu tehditlere karşı korunmada kritik bir rol oynamaktadır.


