Truva atı küresel operasyonda yok edildi
Dijital güvenlik şirketi ESET, Grandoreiro botnet’ini çökertmek için Brezilya Federal Polisine güvendi. ESET araştırmacılarının yakından takip ettiği Latin Amerika bankacılık truva atlarından biri olan Grandoreiro, 2017’den beri aktif. Grandoreiro, Brezilya, Meksika, İspanya ve 2023’ten beri Arjantin’i hedefliyordu.
Operasyon, Grandoreiro’nun operasyonel hiyerarşisinde üst sıralarda yer aldığına inanılan kişileri hedef aldı. Brezilya Federal Polisinin soruşturması çok sayıda tutuklamaya yol açtı. ESET araştırmacıları, Grandoreiro komuta ve kontrol (C&C) sunucularının kurulumundan ve bu sunuculara bağlanmaktan sorumlu hesapların belirlenmesi için değerli bilgiler sağladı.
Grandoreiro’nun yetenekleri arasında kurbanın ekranını engellemek, tuş vuruşlarını kaydetmek, fare ve klavye etkinliğini taklit etmek, kurbanın ekranını paylaşmak ve sahte açılır pencereler görüntülemek yer alıyor. ESET otomatik sistemleri on binlerce Grandoreiro örneğini işledi. Kötü amaçlı yazılımın yaklaşık Ekim 2020’den bu yana kullandığı alan adı oluşturma algoritması (DGA), günde bir ana alan adı üretiyor. Grandoreiro’nun C&C sunucusuyla iletişim kurabilmesinin tek yolu budur.
Grandoreiro ve diğer Latin Amerika bankacılık truva atlarını analiz eden grubun koordinatörü ESET Araştırmacısı Jakub Souček şunları söyledi: “Mevcut geçmişe ek olarak, DGA aynı zamanda büyük bir statik yapılandırmayı da kabul ediyor. Grandoreiro, bariz temel özelliklere sahip diğer Latin Amerika bankacılık truva atlarını temel alıyor. MSI’dan işlevsellik ve indiriciler.” Grandoreiro’nun ağ protokolünü uygulaması, ESET araştırmacılarının perde arkasına ve vitimolojiye göz atmalarına olanak sağladı. Grandoreiro’nun C&C sunucuları, yeni bağlanan her kurbana ilk talep sırasında bağlanan kurbanlar hakkında bilgi sağlar . Bu bilgileri bir yılı aşkın bir süre boyunca inceleyerek %66’sının Windows 10 kullanıcısı, %13’ünün Windows 7, %12’sinin Windows 8 ve %9’unun Windows 11 kullanıcısı olduğu sonucuna vardık. Grandoreiro kurbanlarının coğrafi dağılımını güvenilir bir şekilde rapor etmediği için ESET telemetrisine başvuruyoruz: Tüm kurbanların %65’i İspanya’dan oluşuyor, onu %14 ile Meksika, %7 ile Brezilya ve %5 ile Arjantin takip ediyor; Kurbanların geri kalan yüzde 9’u diğer Latin Amerika ülkelerinde. “Ayrıca 2023’te Grandoreiro’nun İspanya’daki faaliyetlerinde de önemli bir azalma görüyoruz, bu düşüş Meksika ve Arjantin’deki kampanyalardaki artışla dengeleniyor.”
Kaynak: (BYZHA) Beyaz Haber Ajansı