Brezilya ve Siber Güvenlik Araştırmacıları Federal Polisi, 2017'den beri mali sahtekarlıkla İspanyolca konuşulan ülkeleri hedefleyen Grandoreiro Bankacılık Kötü Yazılım Operasyonunu bozdu.
Operasyon, ESET, Interpol, İspanya'daki Ulusal Polis ve Caixa Bank tarafından desteklendi ve hepsi kötü amaçlı yazılım altyapısını kontrol eden bireylerin belirlenmesine ve tutuklanmasına yol açan kritik veriler sağladı.
Brezilya'nın federal polisi, Sao Paulo, Santa Catarina, Para, Goias ve Mato Grosso'da beş tutuklama ve on üç arama ve nöbet eylemini duyurdu.
Brezilya polisi, makineli bir basın bülteninde, "30 Ocak Salı, federal polis, Brezilya dışındaki kurbanlarla bankacılık kötü amaçlı yazılımlarını kullanarak elektronik bankacılık sahtekarlığından sorumlu bir suç grubunun faaliyetlerini araştırmak için Grandoreiro Operasyonu başlattı." Dedi.
Diyerek şöyle devam etti: "Ceza yapısının 2019'dan bu yana sahtekarlık yoluyla en az 3.6 milyon avroya taşındığından şüpheleniliyor."
Caixa Bank'ın kayıtlarına göre, kötü amaçlı yazılım operatörleri, yaklaşık 120.000.000 dolarlık kayıplara neden olan sahtekarlıkla bağlantılıdır.
Grandoreiro, 2020'de ESET tarafından ilk olarak belgelenen ve 2017'deki operasyonunun başlangıcından bu yana İspanyolca konuşmacılar için temel tehditlerden biri olan bir Windows Banking Truva atıdır.
Kötü amaçlı yazılım, bankacılık faaliyetleriyle ilgili web tarayıcısı işlemlerini arayan ön plan penceresini aktif olarak izler ve bir eşleşme varsa, komut ve kontrol (C2) sunucularıyla iletişimi başlatır.
Saldırganlar, hedefli ve uygulamalı bir yaklaşımı gösteren, doğru web enjeksiyonlarını yüklemek gibi finansal hırsızlık yapmak için kötü amaçlı yazılımla manuel olarak etkileşime girmelidir.
Kötü amaçlı yazılım, kimlik bilgileri için Phish'e sahip olan sahte açılır pencerelere hizmet edebilir, uzak gezinmeye yardımcı olmak için fare ve klavye girişini simüle edebilir, kurbanın ekranının canlı beslemesini gönderebilir, tespit ve müdahaleyi engellemek için yerel görüntülemeyi ve günlük tuşlarını engelleyebilir.
Grandoreiro geliştiricileri, yeni özellikler eklemek ve kötü amaçlı yazılım yeteneklerini geliştirmek için sık güncellemeler yayınladı, bu da operatörlerinin projeyi kullanmaya devam ettiğini gösteriyor.
Ağustos 2022'de bir Zscaler raporu, İspanya ve Meksika'daki yüksek değerli şirket çalışanlarını hedefleyen bir Grandoreiro kampanyası sundu.
ESET, izleme ve analiz tekniklerinin bir kombinasyonu yoluyla kötü amaçlı yazılımların bir etki alanı oluşturma algoritmasını (DGA) kullanmasına rağmen Grandoreiro'nun sunucularını izleyebilir.
Araştırmacılar, her gün yeni bir alan üreten DGA mekanizmasını analiz ettiler ve mevcut tarih ve sabit kodlanmış yapılandırmayı kullandığını ve gelecekteki alanları tahmin etmelerini sağladığını buldu.
ESET, "ESET, bize bilinen Grandoreiro örneklerinden toplam 105 farklı DGA_ID çıkardı."
"Bu yapılandırmaların 79'u en azından bir kez, izlememiz sırasında etkin bir C&C sunucu IP adresine çözülen bir etki alanı oluşturdu."
Siber güvenlik firması, farklı DGA konfigürasyonları tarafından üretilen alanların aynı IP adreslerine çözüldüğü ve aynı C2 sunucusuna bağlı birden fazla kurbanı gösteren kalıpları gözlemledi.
Bu ipucunu kullanarak Grandoreiro'nun altyapısı kümelendi ve ESET operasyonun mağdur ve hacmine ilişkin içgörüler kazanabilir.
Kurbanların çoğu İspanya, Meksika ve Brezilya'da, en çok etkilenen işletim sistemi Windows 10, ardından 7, 8 ve 11.
ESET, Grandoreiro'nun altyapısına günlük 551 benzersiz bağlantı gördüğünü ve 114'ünün "yeni günlük kurbanlar" olduğunu bildirdi.
Bunu bir yıl boyunca tahmin edersek, Grandoreiro potansiyel olarak 41.000'den fazla yeni bilgisayarı enfekte etti.
Şu anda, tutuklanan bireylerin operasyonda öncü bir rol oynayıp sahip olmadığı veya Grandoreiro'nun yeni altyapı kullanarak gelecekte geri dönme riski olup olmadığı belirsizdir.
Yine de, en son bozulma kötü amaçlı yazılım işlemlerini şimdilik tam bir durmaya getirdi.
Interpol Operasyonu 3.500 siber suçlu tutukladı, 300 milyon dolar ele geçiriyor
2023'te on yeni Android Bankacılık Truva atı 985 banka uygulamasını hedef aldı
Fjordphantom Android kötü amaçlı yazılım, tespitten kaçınmak için sanallaştırma kullanır
Polis, şu anda yok olan korsan sitesinden 50.000 bitcoin rekoru ele geçiriyor
FBI, enfekte yönlendiricilerden kötü amaçlı yazılımları silerek Çin botnetini bozar
Kaynak: Bleeping Computer