Kaspersky yeni Grandoreiro light varyantını ortaya çıkardığını açıkladı. Görünüşe göre Grandoreiro, önemli operatörleri 2024'ün başlarında tutuklanmasına rağmen ortakları tarafından yeni kampanyalarda kullanılmaya devam ediyor.
Kaspersky Global Araştırma ve Analiz ekibi (GReAT), saldırının Meksika'ya odaklanan ve yaklaşık 30 bankayı hedef alan yeni bir hafif (light) sürümünü keşfettiğini açıkladı. Küresel olarak en aktif tehditlerden biri olmaya devam eden ve 1.700'den fazla bankanın kullanıcılarını hedef alan Grandoreiro varyantları, bu yılki bankacılık trojan saldırılarının yaklaşık yüzde 5'ini oluştururken, Meksika, bu yıl kaydedilen 51 bin olayla, yeni hafif sürüm de dahil olmak üzere çeşitli Grandoreiro varyantları tarafından en çok hedef alınan ülkelerden biri oldu.
Kaspersky verileri, Grandoreiro'nun 2016'dan beri aktif olduğunu gösteriyor. Tehdit, 2024 yılında 45 ülke ve bölgede 1.700'den fazla finans kurumunu ve 276 kripto para cüzdanını hedef aldı ve son olarak Asya ve Afrika'yı da hedef listesine ekleyerek gerçek anlamda küresel bir finans tehdidi haline gelmiş durumda.
Saldırı, davranışları analiz eden makine öğrenimi tabanlı güvenlik sistemleri tarafından tespit edilmekten kaçınmak amacıyla gerçek kullanıcı davranışlarını taklit etmek üzere fare etkinliğini kaydediyor. Zararlı yazılım, ardından bu kaydettiği doğal fare hareketlerini yeniden oynatarak dolandırıcılıkla mücadele araçlarını kandırmayı ve aktivitelerini meşru olarak görmelerini sağlamayı amaçlıyor.
Kaspersky Latin Amerika (GReAT) Başkanı Fabio Assolini, konuyla ilgili şunları söylüyor: "Tüm bu son gelişmeler tehdidin evrim geçiren doğasının altını çiziyor. Parçalanmış ve daha hafif sürümler, Meksika'nın ötesine ve Latin Amerika dahil olmak üzere diğer bölgelere yayılabilecek bir eğilimi temsil edebilir. Ancak, yalnızca bazı güvenilir iştiraklerin bu tür hafif sürümleri geliştirmek için kötü amaçlı yazılım kaynak koduna erişimi olduğuna inanıyoruz. Grandoreiro, alışık olduğumuz geleneksel 'Hizmet Olarak Kötü Amaçlı Yazılım' modelinden farklı bir şekilde çalışıyor. Yeraltı forumlarında Grandoreiro paketini satan duyurular bulamazsınız. Bunun yerine, erişimi sınırlı görünüyor."
Ayrıca Grandoreiro, Kaspersky'nin zararlı yazılımlarda daha önce rastlamadığı Şifreli Metin Çalma (CTS) olarak bilinen bir kriptografik tekniği benimsemiş durumda. Burada amaç, kötü amaçlı kod dizelerini şifrelemek. Fabio Assolini bununla ilgili olarak da şunları söylüyor: "Grandoreiro büyük ve karmaşık bir yapıya sahip. Eğer dizeleri şifrelenmemiş olsaydı bu güvenlik araçlarının ve analistlerin tespit etmesini kolaylaştırırdı. Muhtemelen saldırılarının tespit ve analizini zorlaştırmak için bu yeni tekniği uygulamaya koydular."
Grandoreiro’nun yeni enfeksiyon akışı nasıl?
Kaspersky güvenlik uzmanları, finansal zararlı yazılımlardan korunmak için şirketlere aşağıdakileri öneriyor:
- Özellikle finans departmanlarındaki kritik kullanıcı profilleri için Varsayılan Reddetme politikasını etkinleştirin. Bu, yalnızca yasal web kaynaklarına erişilebilmesini sağlar.
- Personelinize, özellikle de muhasebeden sorumlu çalışanlara kimlik avı sayfalarının nasıl tespit edileceğine ilişkin talimatları içeren siber güvenlik farkındalık eğitimi verin.
- Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için kimlik avı önleme özelliklerine sahip posta sunucuları için koruma çözümleri kullanın.
Kullanıcılar ne yapmalı?
- Beklenmedik veya şüpheli görünen mesajlarda yer alan bağlantıları veya belgeleri asla açmayın. Doğru web adresinden arayüz detaylarına kadar girdiğiniz web sayfalarına dikkat edin.
- Dijital varlıkları çok çeşitli finansal siber tehditlere karşı koruyan güvenilir bir güvenlik çözümü kullanın.
- Yalnızca güvenilir kaynaklardan edinilen uygulamaları yükleyin. Uygulamalar tarafından talep edilen hakları veya izinleri, öncelikle uygulamanın özellik setiyle eşleştiğinden emin olmadan onaylamaktan kaçının.
- Kullanılan tüm yazılımlar için en son güncellemeleri ve yamaları yükleyin.