Kaspersky, Brezilyalı yetkililerin Grandoreiro bankacılık Truva atı operasyonunun arkasındaki operatörleri tutuklamasına yol açan INTERPOL koordineli bir operasyona yardımcı olduktan sonra, grubun kod tabanını saldırılarına devam etmek için Truva atının daha hafif, parçalanmış sürümlerine ayrıldığını keşfetti. Son analizler, öncelikle Meksika'ya odaklanan ve yaklaşık 30 finans kurumunu hedef almak için kullanılan bir hafifletilmiş sürüm tespit etti. Bu sürümün yaratıcıları muhtemelen kaynak koduna erişebiliyor ve basitleştirilmiş eski kötü amaçlı yazılımı kullanarak yeni saldırı kampanyları başlatıyorlar.
Kaspersky Latin Amerika (GReAT) Başkanı Fabio Assolini, şunları söylüyor: "Tüm bu son gelişmeler tehdidin evrim geçiren doğasının altını çiziyor. Parçalanmış ve daha hafif sürümler, Meksika'nın ötesine ve Latin Amerika dahil olmak üzere diğer bölgelere yayılabilecek bir eğilimi temsil edebilir. Ancak, yalnızca bazı güvenilir iştiraklerin bu tür hafif sürümleri geliştirmek için kötü amaçlı yazılım kaynak koduna erişimi olduğuna inanıyoruz. Grandoreiro, alışık olduğumuz geleneksel 'Hizmet Olarak Kötü Amaçlı Yazılım' modelinden farklı bir şekilde çalışıyor. Yeraltı forumlarında Grandoreiro paketini satan duyurular bulamazsınız. Bunun yerine, erişimi sınırlı görünüyor."
YENİ TAKTİKLER GÖZLEMLEDİ
Yeni hafif sürüm ve öncül zararlı yazılım da dahil olmak üzere Grandoreiro'nun birden fazla varyantı, 2024 yılında Kaspersky tarafından tespit edilen küresel bankacılık Truva atı saldırılarının yaklaşık %5’ini oluşturdu ve bu da onu dünya çapındaki en aktif tehditlerden biri haline getirdi. Kaspersky, öncül Grandoreiro'nun 2024'teki yeni örneklerini de analiz etti ve yeni taktikler gözlemledi. Saldırı, davranışları analiz eden makine öğrenimi tabanlı güvenlik sistemleri tarafından tespit edilmekten kaçınmak amacıyla gerçek kullanıcı davranışlarını taklit etmek üzere fare etkinliğini kaydediyor. Zararlı yazılım, ardından bu kaydettiği doğal fare hareketlerini yeniden oynatarak dolandırıcılıkla mücadele araçlarını kandırmayı ve aktivitelerini meşru olarak görmelerini sağlamayı amaçlıyor.
Ayrıca Grandoreiro, Kaspersky'nin zararlı yazılımlarda daha önce rastlamadığı Şifreli Metin Çalma (CTS) olarak bilinen bir kriptografik tekniği benimsemiş durumda. Burada amaç, kötü amaçlı kod dizelerini şifrelemek. "Grandoreiro büyük ve karmaşık bir yapıya sahip. Eğer dizeleri şifrelenmemiş olsaydı bu güvenlik araçlarının ve analistlerin tespit etmesini kolaylaştırırdı. Muhtemelen saldırılarının tespit ve analizini zorlaştırmak için bu yeni tekniği uygulamaya koydular" diyor Fabio Assolini.