Afrika bankaları, uzaktan erişim truva atlarını (RAT’ler) düşürmek için HTML kaçakçılığı hileleri ve yazım hatası yapılmış alan adları kullanan kötü amaçlı yazılım dağıtım kampanyaları tarafından giderek daha fazla hedef alınıyor.
Hızlı finansal kazançlarla ilgilenen siber suçlular, Afrika’da sıkı ağ geçidi güvenlik kontrolleri uygulamaya başvuran bankalar için sürekli bir sorun kaynağıdır.
Bu, tehdit aktörlerini koruma önlemlerini atlayabilecek daha akıllı saldırılar yapmaya zorladı ve 2022’de banka hedefleme kampanyalarının bir dizi hile kullandığı görülüyor.
Bu 2022 kampanyalarından biri tarafından keşfedildi HP Kurt Güvenliğianalistleri rakibin taktiklerini ve izledikleri enfeksiyon adımlarını inceledi.
cazibesi
Saldırı, meşru bir şirketin, genellikle rakip bir bankanın URL’sine benzeyen, yazım hatası içeren bir alandan bir banka çalışanına gönderilen bir kimlik avı e-postasıyla başlar.
E-posta, alıcıya kazançlı bir iş teklifi sunar ve söz konusu sitedeki ayrıntılara bağlantılar sunar. Bu bağlantıyı takip etmek, kurbanı uygulama talimatlarını içeren bir web sayfasına götürür.
Bu sayfanın içeriği, taklit edilen banka tarafından gerçek bir listeden kopyalanmıştır, bu nedenle oradaki ayrıntılar inandırıcı bir şekilde gerçekçi görünmektedir.
Bu siteler kimlik avı yapmaz veya kötü amaçlı yazılım barındırmaz, bu nedenle tek amaçları kurbanı bulaşma yoluna yönlendirmektir.
yük
Yük, adı geçen e-posta mesajında, kodu anında çözülen ve tarayıcıdaki bir JavaScript bloğu aracılığıyla indirilmek üzere sunulan, base64 ile kodlanmış bir ISO arşiv dosyası olan bir HTML eki biçiminde gelir.
E-posta güvenlik ürünlerinden alarm oluşturmadan riskli dosya biçimlerini gizlice sızdırma tekniğine HTML kaçakçılığı denir ve bu köklü ve trend olan yük dağıtım yöntemi.
ISO dosyası, yeni bir Kayıt Defteri anahtarı oluşturmak ve çeşitli Windows API işlevlerini çağıran PowerShell komutlarını çalıştırmak için çift tıklatıldığında yürütülen bir Visual Basic Komut Dosyası (VBS) dosyası içerir.
Bir dizi kötü amaçlı kod yürütme ve Windows API’sinin kötüye kullanılmasından sonra, GuLoader sistemde birleştirilir ve RemcosRAT kötü amaçlı yazılımını indirip çalıştırmak için yürütülür.
HP’nin tehdit analistlerine göre, GuLoader’ın yapılandırmasında biri Dropbox’a ve diğeri OneDrive’a işaret eden iki indirme URL’si var, bu nedenle bu aşamada uygulanan bir miktar fazlalık var.
GuLoader’ın kayıt defterinde depolanan PowerShell aracılığıyla yürütüldüğünü ve sistem belleğinde çalıştığını, bu nedenle çoğu virüsten koruma aracının onu algılamayacağını da belirtmek önemlidir.
HP’nin işaret ettiği gibi, bulaşma zincirini kırmanın tek yolu, komut dosyaları için varsayılan uygulamayı Windows Komut Dosyası Ana Bilgisayarından Not Defteri’ne ayarlamak olacaktır; bu, VBS dosyasının gerçek yapısını ortaya çıkaracaktır.
Gol
Remcos, başka türlü meşru bir ticari uzaktan erişim aracıdır (RAT). siber suçlular tarafından kullanılan birkaç yıldır kötü amaçlar için.
Uzaktan komut yürütme, ekran görüntüsü yakalama, tuş vuruşu günlüğü, web kamerası ve mikrofon kaydı ve daha fazlasını destekleyen güçlü bir araçtır.
Potansiyel olarak, tehdit aktörleri, işlem ayrıntılarını koklamak, değerli kimlik bilgilerini çalmak, banka ağında yanal olarak hareket etmek veya BEC saldırıları için gereken bilgileri çalmak için Remcos’u kullanır.
Tehdit aktörleri her zaman ağ erişimlerini diğer bilgisayar korsanlarına satmayı ve kanun yaptırımı sorunlarını riske atmadan hızlı bir şekilde para kazanmayı tercih ederken, veri hırsızlığı veya fidye yazılımı dağıtımı yoluyla mali şantaj da olasıdır.