ZANUBİS'İN MASKESİ DÜŞTÜ

Kaspersky uzmanları, yasal uygulamaların kılığına girme konusundaki uzmanlığıyla öne çıkan bir bankacılık Truva Atı olan Zanubis'in son kampanyasını mercek altına aldı. Araştırma, son zamanlarda ortaya çıkan AsymCrypt şifreleme/yükleyici ve gelişen Lumma hırsızlık vakalarına odaklanarak, artan dijital güvenlik ihtiyacının altını çiziyor.

Bir Android bankacılık Truva atı olan Zanubis, Ağustos 2022'de ortaya çıktı ve Peru'daki finans ve kripto kullanıcılarını hedef aldı. Uygulama meşru Peru Android uygulamalarını taklit ederek kullanıcıları erişilebilirlik izinleri vermeleri için kandırıyor ve cihazın kontrolünü ele geçiriyordu. Nisan 2023'te Zanubis, Peru devlet kuruluşu SUNAT'ın (Superintendencia Nacional de Aduanas y de Administración Tributaria) resmi uygulaması gibi davranarak gelişmişlik düzeyini bir ileri seviyeye çıkardı. Zanubis, Android APK dosyaları için popüler bir gizleyici olan Obfuscapk yardımıyla gizleniyor. Cihaza erişim yetkisi aldıktan sonra WebView kullanarak gerçek bir SUNAT web sitesi yüklüyor ve böylece kurbanı kandırarak meşru görünmesini sağlıyor.

Zararlı yazılım, kontrol sunucusu ile iletişim kurmak için WebSockets ve Socket.IO adlı bir kütüphane kullanıyor. Bu, sorun olsa bile duruma uyum sağlamasına ve bağlı kalmasına olanak tanıyor. Diğer kötü amaçlı yazılımların aksine, Zanubis'in sabit bir hedef uygulama listesi mevcut değil. Bunun yerine, belirli uygulamalar çalışırken veri çalmak için uzaktan programlanabiliyor. Hatta bu zararlı yazılım ikinci bir bağlantı oluşturarak kötü niyetli kişilere yönelik cihaz üzerinde tam kontrol sağlayabiliyor. En kötü senaryoda ise Android güncellemesi gibi davranarak cihazınızı devre dışı bırakabiliyor.

Kaspersky tarafından yakın zamanda yapılan bir başka keşif de kripto cüzdanlarını hedef alan ve webin karanlık forumlarında satılan AsymCrypt kriptor/yükleyicisi oldu. Araştırmanın gösterdiği üzere, bu bir TOR ağ hizmetinin "öncüsü" olarak hareket eden gelişmiş bir DoubleFinger yükleyici sürümünden oluşuyor. Alıcılar, kötü amaçlı DLL'ler için enjeksiyon yöntemlerini, hedef süreçleri, başlangıçtaki kalıcılığı ve saplanma türlerini özelleştirerek, yükü bir görüntü sitesine yüklenen.png görüntüsü içindeki şifrelenmiş bir blobda gizliyor. Ardından yürütme süreci görüntünün şifresini çözerek bellekteki yükü etkinleştiriyor.

Lumma, eski özelliklerinin %46'sını koruyor

Kaspersky'nin siber tehditleri izlemesi, yeni gelişen bir kötü amaçlı yazılım ailesi olan Lumma stealer'ı da ortaya çıkardı. Aslen Arkei olarak bilinen ve yeniden markalanan Lumma, eski özelliklerinin %46'sını koruyor. Bir .docx'ten pdf'e dönüştürücü kılığında gizlenen yazılım, yüklenen dosyalar .pdf.exe çift uzantısıyla dönüştürüldüğünde kötü amaçlı yükü tetikliyor. Bunun haricinde zaman içinde tüm varyantların ana işlevselliği aynı kalmış durumda. Bunlar arasında önbelleğe alınmış dosyaları, yapılandırma dosyalarını ve kripto cüzdanlarından günlükleri çalmak gibi işlevler mevcut. Saldırı bunu bir tarayıcı eklentisi olarak hareket ederek yapabiliyor, ayrıca bağımsız Binance uygulamasını da destekliyor. Lumma'nın evrimi, sistem işlem listelerini edinmeyi, iletişim URL'lerini değiştirmeyi ve şifreleme tekniklerini geliştirmeyi içeriyor.

GReAT Güvenlik Araştırma Lideri Tatyana Shishkova, şunları söylüyor: "Siber suçlular, hedeflerine ulaşmak için kripto para dünyasına girerek ve hatta devlet kurumlarını taklit ederek parasal kazanç peşinde koşmaktan vazgeçmiyorlar. Çok yönlü Lumma hırsızı ve tam teşekküllü bir bankacılık Truva atı olan Zanubis'in ortaya koyduğu hırs ile örneklenen kötü amaçlı yazılımların sürekli gelişimi, bu tehditlerin dinamik doğasının altını çiziyor. Kötü amaçlı kod ve siber suç taktiklerindeki bu sürekli dönüşüme uyum sağlamak, savunma ekipleri için süregelen bir zorluk anlamına geliyor. Gelişen bu tehlikelere karşı korunmak için kuruluşların tetikte olması ve iyi bilgilendirilmesi gerekiyor. Bu noktada istihbarat raporları, en son kötü niyetli araçları ve saldırgan tekniklerini takip etmede çok önemli bir rol oynuyor ve dijital güvenlik için devam eden savaşta bir adım önde olmamızı sağlıyor."

Kaspersky, finansal amaçlı tehditleri önlemek için şunları öneriyor:

Davetsiz misafirlerin kurcalayamayacağı çevrimdışı yedekler oluşturun. Gerektiğinde acil bir durumda bunlara hızla erişebileceğinizden emin olun.

Tüm uç noktalar için fidye yazılımı koruması yükleyin. Bilgisayarları ve sunucuları fidye yazılımlarına ve diğer kötü amaçlı yazılım türlerine karşı koruyan, istismarları önleyen ve önceden yüklenmiş güvenlik çözümleriyle uyumlu olan ücretsiz Kaspersky Anti-Ransomware Tool for Business ürününü bunun için kullanabilirsiniz. 

Kripto madencilerinin başlatılma olasılığını en aza indirmek için uygulama ve web kontrolüne sahip Kaspersky Endpoint Security for Business gibi özel bir güvenlik çözümü kullanın. Bu ürünün sunduğu davranış analizi kötü amaçlı etkinliklerin hızla tespit edilmesine yardımcı olurken, sahip olduğu güvenlik açığı ve yama yöneticisi güvenlik açıklarından yararlanan kripto madencilerinden korur.

Kaspersky, 25-28 Ekim tarihleri arasında Tayland'ın Phuket şehrinde düzenlenecek olan Security Analyst Summit (SAS) 2023'te siber güvenliğin geleceğini daha da derinlemesine masaya yatıracak.

Zirve, seçkin kötü amaçlı yazılımla mücadele araştırmacılarını, küresel kolluk güçlerini, Bilgisayar Acil Durum Müdahale Ekiplerini ve dünyanın dört bir yanından finans, teknoloji, sağlık, akademi ve hükümet gibi sektörlerden üst düzey liderleri bir araya getirecek.