Günümüzün en aktif ve yaratıcı siber suçlularının önemli bir bölümüne ev sahipliği yapan Brezilya, uzun süredir e-ödeme ve çevrim içi bankacılık sistemlerinden kimlik bilgilerini çalan kötü amaçlı yazılımlar ve Truva atları için başlangıç noktası oldu. Böylece siber suçlular mağdurların hesaplarından para çalmayı başardı. Geçmişte Brezilyalı siber suçlular öncelikle yerel finansal kurumların müşterilerini hedef alıyordu. Ancak bu durum 2011 yılının başında birkaç grubun yurt dışına Truva atı ihraç etmeye başlamasıyla ve sınırlı da olsa bir başarı elde etmesiyle değişti. 2020 yılında Tetrade olarak bilinen dört ayrı Truva atı, dünya genelinde dağılmak için gereken yenilikleri hayata geçirdi.
Bu ailelerden biri olan Guildma, 2015’ten beri aktif ve gerçek gibi görünen iş mesajları veya bildirimleri kılığına girerek kimlik avı e-postaları yoluyla yayılıyor.
Dörtlü Kötü Amaçlı Bankacılık Yazılımları
Guildma, son yıllarda birkaç yeni gizlenme tekniğini uygulamaya koydu ve tespit edilmesini zorlaştırdı. Guildma, 2019’dan beri bulaştığı sistemindeki kötü amaçlı yazılımı özel bir dosya biçimi yardımıyla gizliyor. Buna ek olarak kontrol sunucusuyla iletişimini Facebook ve YouTube sayfalarında şifreli bir biçimde saklıyor. Böylece iletişim trafiğinin kötü amaçlı olarak işaretlenmesini zorlaştırıyor ve hiçbir antivirüs bu web sitelerini engellemediğinden, kontrol sunucusunun komutları kesintisiz olarak yürütebilmesini sağlıyor. 2015 yılında sadece Brezilya’da aktif olan Guildma’ya artık Güney Amerika, ABD, Portekiz ve İspanya’da yaygın olarak rastlanıyor.
Javali olarak bilinen ve 2017’den beri aktif olan bir diğer yerel Truva atı, Brezilya dışında Meksika’daki bankacılık müşterilerini de hedef almaya başladı. Bu da Guildma gibi kimlik avı e-postaları yoluyla yayılıyor ve C2 iletişimi barındırmak için YouTube’u kullanıyor.
Ailenin üçüncü üyesi Melcoz, 2018’den beri aktif olmakla birlikte son zamanlarda Meksika ve İspanya gibi denizaşırı ülkelerde de yaygınlaşmaya başladı.
Son olarak, Grandoreiro, Avrupa ülkelerine sıçramadan önce Latin Amerika’daki kullanıcıları hedef aldı. Aynı zamanda ailenin en yaygın üyesi olan Grandoreiro, 2016’dan beri dolaşımda ve kötü amaçlı yazılımların hizmet olarak sunulduğu bir model izliyor. Yani diğer siber suçluların ücreti karşılığında sunduğu kaynakları kullanmasına izin veriyor.
Bu Truva atı ailesi, güvenliği ihlal edilmiş web siteleri ve spearphishing yoluyla yayılıyor. Ayrıca Guildma ve Javali örneğindeki gibi C2 iletişimini meşru web sitelerinde gizleyebiliyor.
Latin Amerika GReAT Başkanı Dmitry Bestuzhev, şunları söylüyor:
“Bu dörtlü ailenin arkasında yer alan Brezilyalı siber suçlular, kötü amaçlı yazılımlarını dünya geneline başarıyla ihraç etmek için aktif olarak diğer ülkelerdeki benzer oluşumlarla iş birliği kuruyorlar. Dahası, etkinliklerini gizlemek ve saldırılarını daha kârlı hale getirmek için sürekli yeni numaralar ve teknikler öğreniyorlar. Önümüzdeki dönemde bu dört örneğin diğer ülkelerde daha fazla bankaya saldırmasını aileye yeni üyelerin katılmasını bekliyoruz. Bu nedenle finansal kurumların bu tehditleri yakından izlemesi ve tedbire yönelik adımlar atması çok önemli.”
Finansal kurumunuzu bu dört bankacılık Truva atı ve diğerler tehditlerden korumak için Kaspersky uzmanları şunları öneriyor:
- SOC ekibinizin tehdit aktörleri ve siber suçlular tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında bilgi sahibi olmaları için en son tehdit istihbaratına erişimlerini sağlayın.
- Müşterilerinizi karşılaşabilecekleri olası hileler konusunda eğitin. Dolandırıcılık girişimini nasıl tespit edebilecekleri ve bu durumda nasıl davranacakları konusunda düzenli olarak onlara bilgi verin.
- Gelişmiş sahtekarlık girişimlerini tespit edebilen bir sahtecilikle mücadele çözümü kullanın.
