Kaspersky güvenlik uzmanları, son raporlarında Zanubis adlı bankacılık Truva atının yeni saldırı kampanyasını detaylı bir şekilde ele aldı. Ağustos 2022’de ortaya çıkan bu zararlı yazılım, özellikle Peru’daki finans ve kripto kullanıcılarını hedef alarak dikkat çekiyor.
Zanubis, kendisini meşru Peru Android uygulamaları olarak maskeliyor ve kullanıcıları erişilebilirlik izinlerini verme konusunda kandırarak cihazların kontrolünü ele geçiriyor.
Nisan 2023’te Zanubis, Peru devlet kuruluşu SUNAT’ın (Superintendencia Nacional de Aduanas y de Administracion Tributaria) resmi uygulaması gibi davranarak gelişmişlik düzeyini bir ileri seviyeye çıkardı.
Zanubis, Android APK dosyaları için popüler bir gizleyici olan Obfuscapk yardımıyla gizleniyor. Cihaza erişim yetkisi aldıktan sonra WebView kullanarak gerçek bir SUNAT web sitesi yüklüyor ve böylece kurbanı kandırarak meşru görünmesini sağlıyor.
Zararlı yazılım, kontrol sunucusu ile iletişim kurmak için WebSockets ve Socket.IO adlı bir kütüphane kullanıyor. Bu, sorun olsa bile duruma uyum sağlamasına ve bağlı kalmasına olanak tanıyor. Diğer kötü amaçlı yazılımların aksine, Zanubis’in sabit bir hedef uygulama listesi mevcut değil.
Bunun yerine, belirli uygulamalar çalışırken veri çalmak için uzaktan programlanabiliyor. Hatta bu zararlı yazılım ikinci bir bağlantı oluşturarak kötü niyetli kişilere yönelik cihaz üzerinde tam kontrol sağlayabiliyor. En kötü senaryoda ise Android güncellemesi gibi davranarak cihazınızı devre dışı bırakabiliyor.
Kaspersky tarafından yakın zamanda yapılan bir başka keşif de kripto cüzdanlarını hedef alan ve webin karanlık forumlarında satılan AsymCrypt kriptor/yükleyicisi oldu. Araştırmanın gösterdiği üzere, bu bir TOR ağ hizmetinin “öncüsü” olarak hareket eden gelişmiş bir DoubleFinger yükleyici sürümünden oluşuyor.
Alıcılar, kötü amaçlı DLL’ler için enjeksiyon yöntemlerini, hedef süreçleri, başlangıçtaki kalıcılığı ve saplanma türlerini özelleştirerek, yükü bir görüntü sitesine yüklenen.png görüntüsü içindeki şifrelenmiş bir blobda gizliyor. Ardından yürütme süreci görüntünün şifresini çözerek bellekteki yükü etkinleştiriyor.
Lumma Eski Özelliklerinin Yüzde 46’sını Koruyor
Kaspersky’nin siber tehditleri izlemesi, yeni gelişen bir kötü amaçlı yazılım ailesi olan Lumma stealerı da ortaya çıkardı. Aslen Arkei olarak bilinen ve yeniden markalanan Lumma, eski özelliklerinin yüzde 46’sını koruyor. Bir .docx’ten pdf’e dönüştürücü kılığında gizlenen yazılım, yüklenen dosyalar .pdf.exe çift uzantısıyla dönüştürüldüğünde kötü amaçlı yükü tetikliyor.
Bunun haricinde zaman içinde tüm varyantların ana işlevselliği aynı kalmış durumda. Bunlar arasında önbelleğe alınmış dosyaları, yapılandırma dosyalarını ve kripto cüzdanlarından günlükleri çalmak gibi işlevler mevcut. Saldırı bunu bir tarayıcı eklentisi olarak hareket ederek yapabiliyor, ayrıca bağımsız Binance uygulamasını da destekliyor. Lumma’nın evrimi, sistem işlem listelerini edinmeyi, iletişim URL’lerini değiştirmeyi ve şifreleme tekniklerini geliştirmeyi içeriyor.
Açıklamada görüşlerine yer verilen GReAT Güvenlik Araştırma Lideri Tatyana Shishkova, siber suçluların, hedeflerine ulaşmak için kripto para dünyasına girerek ve hatta devlet kurumlarını taklit ederek parasal kazanç peşinde koşmaktan vazgeçmediklerini belirterek, şu bilgileri verdi:
“Çok yönlü Lumma hırsızı ve tam teşekküllü bir bankacılık Truva atı olan Zanubis’in ortaya koyduğu hırs ile örneklenen kötü amaçlı yazılımların sürekli gelişimi, bu tehditlerin dinamik doğasının altını çiziyor. Kötü amaçlı kod ve siber suç taktiklerindeki bu sürekli dönüşüme uyum sağlamak, savunma ekipleri için süregelen bir zorluk anlamına geliyor. Gelişen bu tehlikelere karşı korunmak için kuruluşların tetikte olması ve iyi bilgilendirilmesi gerekiyor. Bu noktada istihbarat raporları, en son kötü niyetli araçları ve saldırgan tekniklerini takip etmede çok önemli bir rol oynuyor ve dijital güvenlik için devam eden savaşta bir adım önde olmamızı sağlıyor.”