OzzTech - Mekotio Bankacılık Truva Atı

Mekotio Bankacılık Truva Atı

Mekotio Bankacılık Truva Atı

Mekotio Latin Amerika bankacılık Truva atı, onu işleten çetenin birçoğunun İspanya’da tutuklanmasından sonra geri dönüyor. Son haftalarda 100’den fazla atak yeni bir enfeksiyon rutini içeriyordu ve bu da grubun aktif olarak yeniden toparlanmaya devam ettiğini gösteriyor.

Check Point Research’e (CPR) göre, “Yeni kampanya, İspanyol Sivil Muhafızlarının Mekotio (diğer adıyla Metamorfo) dağıtımıyla ilgili 16 kişinin tutuklandığını duyurmasının hemen ardından başladı.” “Kötü amaçlı yazılımın arkasındaki çetenin, açığı hızla daraltabildiği ve tespit edilmekten kaçınmak için taktik değiştirdiği görülüyor.” Son saldırıları dalgasının öncelikle Brezilya, Şili, Meksika, Peru ve İspanya’da bulunan kurbanları hedef aldığı söyleniyor.

Mekotio, diğer Latin Amerika bankacılık Truva atları gibi, masum kurbanlardan çevrimiçi bankacılık girişlerini ve diğer finansal kimlik bilgilerini çalıyor. Ancak tespit edilmemek için sürekli gelişiyorlar, bu durumda, Çarşamba günü yayınlanan firmanın analizine göre, tazelenmiş Mekotio enfeksiyon vektörü, tespit oranlarını düşük tutmak için “benzeri görülmemiş unsurlar” içeriyor.

Bunlar;

  • En az iki kat gizleme içeren daha gizi bir toplu iş dosyası.
  • Doğrudan bellekte çalışan yeni dosyasız PowerShell betiği.
  • Son DLL yükünü paketlemek için Themıda v3 kullanımı.

CPR’ye göre, “Son üç ayda, yaklaşık 100 saldırının, saldırının ilk modülünü gizlemek için bir ikame şifresi yardımıyla yeni, basit şaşırtma teknikleri kullandığını gördük”. “Bu basit şaşırtma tekniği, çoğu antivirüs ürünü tarafından algılanmamasına izin veriyor.”

Kötü Amaçlı Yazılım Dağıtımındaki Katmanlar

Saldırılar tüm aşamalarda birden fazla aşama içermektedir ve bir .ZİP arşiv bağlantısı veya .ZIP dosya eki içeren İspanyolca kimlik avı E-postalarıyla başlar. Cazibesi, E-postanın gönderilmeyi bekleyen bir dijital vergi makbuzu içerdiği iddiasıdır.

Bir kullanıcı, .ZIP dosyasının herhangi bir biçimini tıklatarak kandırılırsa, yukarıda belirtilen gizli toplu iş dosyası yürütülür. Buna karşılık, bir PowerShell komut dosyasını belleğe yüklemek ve çalıştırmak için bir PowerShell komutu verir.

Toplu İş Dosyası Gizliliği

Toplu iş dosyasında iki katman gizleme vardır ve genellikle CPR’ye göre “Contacto” ile başlayan bir dosya adı içerir.

Araştırmacılar, “Gizlemenin ilk katmanı basit bir ikame şifresidir” dedi. “İkame şifreleri, düz metindeki her sembolü, arama tablosundaki karşılık gelen sembolle değiştirerek düz metni şifreler.”

İkinci gizleme katmanı, komut kodunun dilimlerini alan ve bunları farklı ortam değişkenlerine kaydeden bir tekniktir. Bunlar birleştirildiğinde, PowerShell betiğini indiren PowerShell komutu ortaya çıkar.

PowerShell Komut Dosyası

PowerShell betiği, enfeksiyon öncesi kontroller yapmaktan, yani hedefin Latin Amerika'da (Brezilya, Şili, Meksika, İspanya veya Peru) istenen bir coğrafyada bulunup bulunmadığını belirlemekten ve sanal makine / sanal alan ortamında çalışmadığını doğrulamaktan sorumludur.

Firmaya göre, ”Komut dosyasının yaptığı bir sonraki şey, adı geçerli tarih olan ayak izi olarak kullanılan boş bir dosya oluşturmaktır". “Bu, sistemde zaten çalışıp çalışmadığını bilmesini sağlar. Dosya zaten varsa, komut dosyası yürütmeyi durdurur.”

Bundan sonra kalıcılığı kurar (aşağıdaki kayıt defteri anahtarına yeni bir değer ekleyerek: “HKCU\Software\Microsoft\Windows

\CurrentVersion\Run” ve son ikincil bir .ZIP arşivini ProgramData dizinine indirir.

Bu ikincil .ZİP arşivi, virüslü sistemde ayıklanan, yeniden adlandırılan ve yeni bir dizine kaydedilen üç dosya içerir. PowerShell komut dosyası, dosyaların türü ve amacı arasında ayrım yapmak için ayıklanan dosyaların boyutunu denetler.

İlk dosya, kullanıcıların dosyalara kısayollar oluşturmasına olanak tanıyan, Windows için açık kaynaklı bir betik dili olan AutoHotkey (AHK) için bir yorumlayıcıdır. Kötü amaçlı yazılım, AHK kullanımını geçen Mart ayında başka bir kaçırma taktiği olarak karışıma ekledi.

PowerShell betiği, bir AHK betiği olan ikinci bir dosyayı çalıştırmak için yorumlayıcı kullanır ve AHK betiği daha sonra Mekotio yükü olan üçüncü dosyayı çalıştırır(Themida v3 ile paketlenmiş bir DLL biçiminde).

Themida, başlangıçta bir siber saldırganın derlenmiş bir uygulamanın kodunu doğrudan denetlemesini veya değiştirmesini engellemek için oluşturulmuş meşru bir yazılım koruyucusu / şifreleyicidir.

Paketi açıldıktan sonra, CPR analizine göre “DLL elektronik bankacılık portalları için erişim kimlik bilgilerinin çalınması ve bir parola hırsızı gibi eylemler için ana Mekotio bankacı işlevselliğini içerir”. “Çalınan veriler komuta ve kontrol sunucusuna gönderilir.”

Araştırmacılar, Latin Amerika'yı hedef alan bankacılık truva atlarının yaygın olmasına rağmen, modüler olma eğiliminde oldukları için analiz etmek ilginç olduklarını, yani saldırganların tespit radarından uzak durmak için küçük değişiklikler yapabileceklerini belirtti.

”CPR, uzun süredir kullanılan çok sayıda eski kötü amaçlı kod görüyor ve yine de saldırılar, paketleyicileri veya ikame şifresi gibi kafa karıştırıcı teknikleri değiştirerek antivirüs ve uç nokta algılama ve yanıt (EDR) çözümlerinin radarı altında kalmayı başarıyor" dediler. “Bu kampanyaya ilişkin analizimiz, saldırganların kötü niyetli niyetlerini gizlemek, güvenlik filtrelemesini atlamak ve kullanıcıları kandırmak için yaptıkları çabaları vurgulamaktadır.”

Bankacılık Truva Atlarına Karşı Nasıl Korunursunuz?

Bu tür saldırılara karşı korunmak için OZZTECH, aşağıdaki temel anti-sosyal mühendislik ipuçlarını sizlere sunmak ister:

  • Bir bağlantıyı tıklatmanızı veya ekli bir belgeyi açmanızı isteyen tanıdık bir marka veya kuruluştan gelen herhangi bir e-posta veya iletişimden şüphelenmelisiniz.
  • Benzer etki alanlarına, e-postalardaki veya web sitelerindeki yazım hatalarına ve bilinmeyen e-posta gönderenlere dikkat edin.
  • Bilinmeyen gönderenlerden gelen e-posta yoluyla alınan dosyalara karşı dikkatli olun, özellikle de genellikle yapmayacağınız belirli bir işlemi isterlerse.
  • E-postalardaki promosyon bağlantılarını tıklamayın ve bunun yerine satıcıyı Google'da arayın ve Google sonuç sayfasındaki bağlantıyı tıklayın.
  • Güvenilir veya güvenilir satın alma fırsatları gibi görünmeyen “özel" tekliflere dikkat edin.
  • Farklı uygulamalar ve hesaplar arasındaki şifreleri tekrar kullanmayın.

İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.