Mekotio Latin Amerika bankacılık Truva atı, onu işleten çetenin birçoğunun İspanya’da tutuklanmasından sonra geri dönüyor. Son haftalarda 100’den fazla atak yeni bir enfeksiyon rutini içeriyordu ve bu da grubun aktif olarak yeniden toparlanmaya devam ettiğini gösteriyor.
Check Point Research’e (CPR) göre, “Yeni kampanya, İspanyol Sivil Muhafızlarının Mekotio (diğer adıyla Metamorfo) dağıtımıyla ilgili 16 kişinin tutuklandığını duyurmasının hemen ardından başladı.” “Kötü amaçlı yazılımın arkasındaki çetenin, açığı hızla daraltabildiği ve tespit edilmekten kaçınmak için taktik değiştirdiği görülüyor.” Son saldırıları dalgasının öncelikle Brezilya, Şili, Meksika, Peru ve İspanya’da bulunan kurbanları hedef aldığı söyleniyor.
Mekotio, diğer Latin Amerika bankacılık Truva atları gibi, masum kurbanlardan çevrimiçi bankacılık girişlerini ve diğer finansal kimlik bilgilerini çalıyor. Ancak tespit edilmemek için sürekli gelişiyorlar, bu durumda, Çarşamba günü yayınlanan firmanın analizine göre, tazelenmiş Mekotio enfeksiyon vektörü, tespit oranlarını düşük tutmak için “benzeri görülmemiş unsurlar” içeriyor.
Bunlar;
- En az iki kat gizleme içeren daha gizi bir toplu iş dosyası.
- Doğrudan bellekte çalışan yeni dosyasız PowerShell betiği.
- Son DLL yükünü paketlemek için Themıda v3 kullanımı.
CPR’ye göre, “Son üç ayda, yaklaşık 100 saldırının, saldırının ilk modülünü gizlemek için bir ikame şifresi yardımıyla yeni, basit şaşırtma teknikleri kullandığını gördük”. “Bu basit şaşırtma tekniği, çoğu antivirüs ürünü tarafından algılanmamasına izin veriyor.”
Kötü Amaçlı Yazılım Dağıtımındaki Katmanlar
Saldırılar tüm aşamalarda birden fazla aşama içermektedir ve bir .ZİP arşiv bağlantısı veya .ZIP dosya eki içeren İspanyolca kimlik avı E-postalarıyla başlar. Cazibesi, E-postanın gönderilmeyi bekleyen bir dijital vergi makbuzu içerdiği iddiasıdır.
Bir kullanıcı, .ZIP dosyasının herhangi bir biçimini tıklatarak kandırılırsa, yukarıda belirtilen gizli toplu iş dosyası yürütülür. Buna karşılık, bir PowerShell komut dosyasını belleğe yüklemek ve çalıştırmak için bir PowerShell komutu verir.
Toplu İş Dosyası Gizliliği
Toplu iş dosyasında iki katman gizleme vardır ve genellikle CPR’ye göre “Contacto” ile başlayan bir dosya adı içerir.
Araştırmacılar, “Gizlemenin ilk katmanı basit bir ikame şifresidir” dedi. “İkame şifreleri, düz metindeki her sembolü, arama tablosundaki karşılık gelen sembolle değiştirerek düz metni şifreler.”
İkinci gizleme katmanı, komut kodunun dilimlerini alan ve bunları farklı ortam değişkenlerine kaydeden bir tekniktir. Bunlar birleştirildiğinde, PowerShell betiğini indiren PowerShell komutu ortaya çıkar.
PowerShell Komut Dosyası
PowerShell betiği, enfeksiyon öncesi kontroller yapmaktan, yani hedefin Latin Amerika’da (Brezilya, Şili, Meksika, İspanya veya Peru) istenen bir coğrafyada bulunup bulunmadığını belirlemekten ve sanal makine / sanal alan ortamında çalışmadığını doğrulamaktan sorumludur.
Firmaya göre, ”Komut dosyasının yaptığı bir sonraki şey, adı geçerli tarih olan ayak izi olarak kullanılan boş bir dosya oluşturmaktır”. “Bu, sistemde zaten çalışıp çalışmadığını bilmesini sağlar. Dosya zaten varsa, komut dosyası yürütmeyi durdurur.”
Bundan sonra kalıcılığı kurar (aşağıdaki kayıt defteri anahtarına yeni bir değer ekleyerek: “HKCU\Software\Microsoft\Windows
\CurrentVersion\Run” ve son ikincil bir .ZIP arşivini ProgramData dizinine indirir.
Bu ikincil .ZİP arşivi, virüslü sistemde ayıklanan, yeniden adlandırılan ve yeni bir dizine kaydedilen üç dosya içerir. PowerShell komut dosyası, dosyaların türü ve amacı arasında ayrım yapmak için ayıklanan dosyaların boyutunu denetler.
İlk dosya, kullanıcıların dosyalara kısayollar oluşturmasına olanak tanıyan, Windows için açık kaynaklı bir betik dili olan AutoHotkey (AHK) için bir yorumlayıcıdır. Kötü amaçlı yazılım, AHK kullanımını geçen Mart ayında başka bir kaçırma taktiği olarak karışıma ekledi.
PowerShell betiği, bir AHK betiği olan ikinci bir dosyayı çalıştırmak için yorumlayıcı kullanır ve AHK betiği daha sonra Mekotio yükü olan üçüncü dosyayı çalıştırır(Themida v3 ile paketlenmiş bir DLL biçiminde).
Themida, başlangıçta bir siber saldırganın derlenmiş bir uygulamanın kodunu doğrudan denetlemesini veya değiştirmesini engellemek için oluşturulmuş meşru bir yazılım koruyucusu / şifreleyicidir.
Paketi açıldıktan sonra, CPR analizine göre “DLL elektronik bankacılık portalları için erişim kimlik bilgilerinin çalınması ve bir parola hırsızı gibi eylemler için ana Mekotio bankacı işlevselliğini içerir”. “Çalınan veriler komuta ve kontrol sunucusuna gönderilir.”
Araştırmacılar, Latin Amerika’yı hedef alan bankacılık truva atlarının yaygın olmasına rağmen, modüler olma eğiliminde oldukları için analiz etmek ilginç olduklarını, yani saldırganların tespit radarından uzak durmak için küçük değişiklikler yapabileceklerini belirtti.
”CPR, uzun süredir kullanılan çok sayıda eski kötü amaçlı kod görüyor ve yine de saldırılar, paketleyicileri veya ikame şifresi gibi kafa karıştırıcı teknikleri değiştirerek antivirüs ve uç nokta algılama ve yanıt (EDR) çözümlerinin radarı altında kalmayı başarıyor” dediler. “Bu kampanyaya ilişkin analizimiz, saldırganların kötü niyetli niyetlerini gizlemek, güvenlik filtrelemesini atlamak ve kullanıcıları kandırmak için yaptıkları çabaları vurgulamaktadır.”
Bankacılık Truva Atlarına Karşı Nasıl Korunursunuz?
Bu tür saldırılara karşı korunmak için OZZTECH, aşağıdaki temel anti-sosyal mühendislik ipuçlarını sizlere sunmak ister:
- Bir bağlantıyı tıklatmanızı veya ekli bir belgeyi açmanızı isteyen tanıdık bir marka veya kuruluştan gelen herhangi bir e-posta veya iletişimden şüphelenmelisiniz.
- Benzer etki alanlarına, e-postalardaki veya web sitelerindeki yazım hatalarına ve bilinmeyen e-posta gönderenlere dikkat edin.
- Bilinmeyen gönderenlerden gelen e-posta yoluyla alınan dosyalara karşı dikkatli olun, özellikle de genellikle yapmayacağınız belirli bir işlemi isterlerse.
- E-postalardaki promosyon bağlantılarını tıklamayın ve bunun yerine satıcıyı Google’da arayın ve Google sonuç sayfasındaki bağlantıyı tıklayın.
- Güvenilir veya güvenilir satın alma fırsatları gibi görünmeyen “özel” tekliflere dikkat edin.
- Farklı uygulamalar ve hesaplar arasındaki şifreleri tekrar kullanmayın.