Her Kapıyı Açan Bankacılık Truva Atı
Her Kapıyı Açan Bankacılık Truva Atı
Siber güvenlik kuruluşu ESET, yeni bir bankacılık truva atını ortaya çıkardı. 2019 yılından bu yana Brezilya’da kurumsal kullanıcıları hedef alan bu truva atı mühendislik, sağlık hizmetleri, perakende satış, üretim, finans, ulaşım sektörü dahil olmak üzere birçok sektörü ve devlet kuruluşunu hedef alıyor. ESET, bu yeni tehdide Janeleiro adını verdi.
Truva atı Janeleiro, Brezilya’daki bazı büyük bankaların internet sitelerine benzeyen tasarımı ve açılır pencereler yoluyla kurbanlarını kandırmaya çalışıyor. Kullanıcıların bankacılık giriş bilgilerini ve kişisel bilgilerini girmesinin ardından bu kötü amaçlı yazılım kurbanlarının sistemine saldırıyor. Janeleiro, ekrandaki pencereleri kontrol edebiliyor, kurbanlar hakkında bilgi toplayabiliyor. Chrome.exe‘yi (Google Chrome) kapatabiliyor, ekran görüntüsü alabiliyor, hatta kontrol tuşlarını ve fare hareketlerini kaydedebiliyor. Ayrıca, kurbanın bitcoin adreslerini kendininkilerle değiştirmek üzere panoyu ele geçirebiliyor.
Janeleiro farklı bir kodlama dili ile yazılmış
2020 yılından bu yana ESET, Latin Amerika’yı hedef alan başlıca bankacılık truva atı kötü amaçlı yazılım aileleriyle ilgili bir dizi araştırma yürütüyor. Temel uygulama açısından Brezilya’yı hedef alan diğer birçok kötü amaçlı yazılım ailesiyle aynı özellikleri taşıyan Janeleiro kodlama dili gibi birçok özelliğiyle bu ailelerden ayrılıyor. Brezilya’daki bankacılık truva atlarının hepsi aynı programlama diliyle yani Delphi ile yazılmışken Janeleiro, Brezilya’da .NET programlama diliyle yazılan ilk bankacılık truva atı olarak tanımlandı. Gizliliğin olmaması, özelleştirilmiş şifrelemenin bulunmaması ve güvenlik yazılımlarına karşı savunmanın olmaması da bu kötü amaçlı yazılımı diğerlerinden ayıran özellikler arasında yer alıyor.
Zararlı yazılım 2018 yılından beri gelişim gösteriyor
Janeleiro’nun komutlarının büyük bir çoğunluğu pencerelerin, farenin ve klavyenin kontrolünü sağlıyor. Janeleiro’yu keşfeden ESET araştırmacısı Facundo Muñoz bu konuda şu bilgileri verid: “Janeleiro saldırısı, otomasyon özellikleri yerine pratik yaklaşımıyla tanımlanabiliyor; birçok durumda operatörün gerçek zamanlı komutlar aracılığıyla açılır pencereleri ayarladığını görüyoruz.
Bankacılık truva atının 2018 yılından bu yana gelişmekte olduğu ve 2020 yılında saldırı esnasında operatöre daha iyi kontrol imkanı sunmak üzere komut işlemini geliştirdiği anlaşılıyor. Farklı özelliklerin ön plana çıktığı farklı sürümlere sahip Janeleiro’nun deneysel yapısı, bu truva atını geliştirenin araçlarını yönetmek için hala doğru yöntemlerin arayışında olduğunu gösteriyor. Ancak bu saldırgan Latin Amerika’daki birçok zararlı yazılım ailesi hakkında da oldukça deneyimli.”
İlginç bir nokta ise, bu kişinin modüllerini saklamak için GitHub depolama hizmetini kullanacak, organizasyon sayfasını yönetecek ve truva atlarının operatörlerine bağlanmak için kullandığı komuta ve kontrol (C&C) sunucularının listelerinin bulunduğu dosyaları sakladığı yeni depoları her gün yükleyecek rahatlığa sahip olması. Kurbanın makinesinde bankacılıkla ilgili anahtar kelimelerden birine rastladığında, anında GitHub’taki C&C sunucularındaki adreslerden almaya ve onlara bağlanmaya çalışıyor. Bu sahte açılır pencereler, dinamik bir şekilde talebe bağlı olarak oluşturuluyor ve komutlar aracılığıyla saldırgan tarafından kontrol ediliyor. ESET, GitHub’u bu etkinlik konusunda bilgilendirdi, ancak şu ana dek organizasyonun sayfasıyla veya kullanıcı hesabıyla ilgili herhangi bir yaptırım söz konusu değil.