Grandoreiro, önemli operatörleri 2024’ün başlarında tutuklanmasına rağmen ortakları tarafından yeni kampanyalarda kullanılmaya devam ediyor. Kaspersky Global Araştırma ve Analiz ekibi (GReAT), saldırının Meksika’ya odaklanan ve yaklaşık 30 bankayı hedef alan yeni bir hafif sürümünü keşfetti. Bu bulguların detayları Güvenlik Analistleri Zirvesi (SAS) 2024’te paylaşılacak. Küresel olarak en aktif tehditlerden biri olmaya devam eden ve 1.700’den fazla bankanın kullanıcılarını hedef alan Grandoreiro varyantları, bu yılki bankacılık trojan saldırılarının yaklaşık yüzde beşini oluşturuyor. Meksika, bu yıl kaydedilen 51 bin olayla, yeni hafif sürüm de dahil olmak üzere çeşitli Grandoreiro varyantları tarafından en çok hedef alınan ülkelerden biri oldu.
Kaspersky verileri Grandoreiro’nun 2016’dan beri aktif olduğunu gösteriyor. Tehdit, 2024 yılında 45 ülke ve bölgede 1.700’den fazla finans kurumunu ve 276 kripto para cüzdanını hedef aldı ve son olarak Asya ve Afrika’yı da hedef listesine ekleyerek gerçek anlamda küresel bir finans tehdidi haline geldi.
Kaspersky, Brezilyalı yetkililerin Grandoreiro bankacılık Truva atı operasyonunun arkasındaki operatörleri tutuklamasına yol açan INTERPOL koordineli bir operasyona yardımcı olduktan sonra, grubun kod tabanını saldırılarına devam etmek için Truva atının daha hafif, parçalanmış sürümlerine ayrıldığını keşfetti. Son analizler, öncelikle Meksika’ya odaklanan ve yaklaşık 30 finans kurumunu hedef almak için kullanılan bir hafifletilmiş sürüm tespit etti. Bu sürümün yaratıcıları muhtemelen kaynak koduna erişebiliyor ve basitleştirilmiş eski kötü amaçlı yazılımı kullanarak yeni saldırı kampanyaları başlatıyorlar.
Kaspersky Latin Amerika (GReAT) Başkanı Fabio Assolini, şunları söylüyor: “Tüm bu son gelişmeler tehdidin evrim geçiren doğasının altını çiziyor. Parçalanmış ve daha hafif sürümler, Meksika’nın ötesine ve Latin Amerika dahil olmak üzere diğer bölgelere yayılabilecek bir eğilimi temsil edebilir. Ancak, yalnızca bazı güvenilir iştiraklerin bu tür hafif sürümleri geliştirmek için kötü amaçlı yazılım kaynak koduna erişimi olduğuna inanıyoruz. Grandoreiro, alışık olduğumuz geleneksel ‘Hizmet Olarak Kötü Amaçlı Yazılım’ modelinden farklı bir şekilde çalışıyor. Yeraltı forumlarında Grandoreiro paketini satan duyurular bulamazsınız. Bunun yerine, erişimi sınırlı görünüyor.”
Yeni hafif sürüm ve öncül zararlı yazılım da dahil olmak üzere Grandoreiro’nun birden fazla varyantı, 2024 yılında Kaspersky tarafından tespit edilen küresel bankacılık Truva atı saldırılarının yaklaşık %5’ini oluşturdu ve bu da onu dünya çapındaki en aktif tehditlerden biri haline getirdi. Kaspersky, öncül Grandoreiro’nun 2024’teki yeni örneklerini de analiz etti ve yeni taktikler gözlemledi. Saldırı, davranışları analiz eden makine öğrenimi tabanlı güvenlik sistemleri tarafından tespit edilmekten kaçınmak amacıyla gerçek kullanıcı davranışlarını taklit etmek üzere fare etkinliğini kaydediyor. Zararlı yazılım, ardından bu kaydettiği doğal fare hareketlerini yeniden oynatarak dolandırıcılıkla mücadele araçlarını kandırmayı ve aktivitelerini meşru olarak görmelerini sağlamayı amaçlıyor.
Ayrıca Grandoreiro, Kaspersky’nin zararlı yazılımlarda daha önce rastlamadığı Şifreli Metin Çalma (CTS) olarak bilinen bir kriptografik tekniği benimsemiş durumda. Burada amaç, kötü amaçlı kod dizelerini şifrelemek. “Grandoreiro büyük ve karmaşık bir yapıya sahip. Eğer dizeleri şifrelenmemiş olsaydı bu güvenlik araçlarının ve analistlerin tespit etmesini kolaylaştırırdı. Muhtemelen saldırılarının tespit ve analizini zorlaştırmak için bu yeni tekniği uygulamaya koydular” diyor Fabio Assolini.
Grandoreiro’nun yeni enfeksiyon akışı
Kaspersky güvenlik uzmanları, finansal zararlı yazılımlardan korunmak için şirketlere aşağıdakileri öneriyor:
- Özellikle finans departmanlarındaki kritik kullanıcı profilleri için Varsayılan Reddetme politikasını etkinleştirin. Bu, yalnızca yasal web kaynaklarına erişilebilmesini sağlar.
- Personelinize, özellikle de muhasebeden sorumlu çalışanlara kimlik avı sayfalarının nasıl tespit edileceğine ilişkin talimatları içeren siber güvenlik farkındalık eğitimi verin.
- Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için Kaspersky Security for Mail Server gibi kimlik avı önleme özelliklerine sahip posta sunucuları için koruma çözümleri kullanın.
Bankaların müşterilerini eğitme konusunda yapabilecekleri ise şunlar:
- Beklenmedik veya şüpheli görünen mesajlarda yer alan bağlantıları veya belgeleri asla açmayın. Doğru web adresinden arayüz detaylarına kadar girdiğiniz web sayfalarına dikkat edin.
- Dijital varlıkları çok çeşitli finansal siber tehditlere karşı koruyan Kaspersky Premium gibi güvenilir bir güvenlik çözümü kullanın.
- Yalnızca güvenilir kaynaklardan edinilen uygulamaları yükleyin. Uygulamalar tarafından talep edilen hakları veya izinleri, öncelikle uygulamanın özellik setiyle eşleştiğinden emin olmadan onaylamaktan kaçının.
- Kullanılan tüm yazılımlar için en son güncellemeleri ve yamaları yükleyin.
Securelist’te daha fazla bilgi bulabilirsiniz. Kapsamlı Grandoreiro analizi ve genel bakışı, GReAT tarafından Kaspersky’nin 22-25 Ekim 2024 tarihleri arasında Bali’de gerçekleştireceği on altıncı Güvenlik Analisti Zirvesi’nde (SAS) sunulacak.
