Bu truva atı hem hırsızlık yapıyor hem ustaca saklanıyor

Siber güvenlik kuruluşu ESET, 2017’den bu yana bilinen Grandoreiro bankacılık truva atının, pandemi döneminde yeni gizlenme teknikleri ve yeteneklerle yeniden ortaya çıktığını tespit etti. Grandoreiro, internet kullanıcılarının parasal verilerine ulaşmaya çalışıyor. Bu amaçla da tuş vuruşlarını yakalama, fare ve klavye hareketlerini simüle etme, oturum kapatma ve yeniden başlatma gibi pek çok eylemi manipüle edebiliyor.

ESET, siber hırsızların Grandoreiro’yu genellikle sahte bir Java veya Flash güncellemesi kullanarak spam yoluyla dağıttığını görmüş olsa da son zamanlarda COVID-19 ile ilgili dolandırıcılıklara geçiş yaptıklarını gözlemledi. Bu truva atı, koronavirüs hakkında bilgi vadeden sahte web sitelerindeki videolarda saklanıyor. Ancak videoyu oynatmak yerine ona tıklamak, ziyaretçilerin cihazlarına bir yükün indirilmesine yol açıyor.

Kim hedef?

Bu truva atı ilk etapta özellikle Brezilya, Meksika, İspanya ve Peru’daki kullanıcıları hedef alıyor. Brezilya ve Peru’da en az 2017’den bu yana faaliyet gösteren Grandoreiro, 2019’da Meksika ve İspanya’ya da uzandı. Bu serideki Latin Amerika kökenli, bankalara yönelik diğer truva atlarında olduğu gibi Grandoreiro da kurbanlarını, hassas bilgilerini ifşa etmelerini sağlamak için onlara sahte açılır pencereler göstererek yanıltıyor.

Neler yapabiliyor?

Grandoreiro’nun arka kapı işlevi; kendi kendini güncelleme, tuş vuruşlarını yakalama, fare ve klavye hareketlerini simüle etme, tarayıcıları seçilen URL’lere yönlendirme, oturum kapatma ve makineyi yeniden başlatma, web sitelerine erişimi engelleme gibi eylemlerle Windows’u manipüle ediyor. Grandoreiro, etkilenen bilgisayarlar hakkında çeşitli bilgiler toplarken bazı sürümleri de Google Chrome’da depolanan kimlik bilgilerinin yanı sıra Microsoft Outlook’da kayıtlı verileri de çalabiliyor.

Ustaca gizlenme teknikleri var

Grandoreiro’yu analiz eden takımın lideri ESET araştırmacısı Robert Suman, edindikleri bilgileri şöyle özetliyor: “Grandoreiro, bankaları hedef alan bir truva atı için tespit ve öykünmeden kaçınmak amacıyla şaşırtıcı derecede çok hileye başvuruyor. Buna bankacılık koruma yazılımını tespit etmeye ve hatta devre dışı bırakmaya yarayan birçok teknik dahil. Öyle görünüyor ki, bankaları hedef alan truva atlarını çok hızlı geliştiriyorlar. Neredeyse her yeni sürümde birtakım değişikliklerle karşılaşıyoruz. Ayrıca en az iki varyant geliştirdiklerinden de şüpheleniyoruz. Teknik açıdan baktığımızda ilginç bir şekilde, geçerli bir dosyayı tutarken tabandan kurtulmayı zorlaştıran ikilik taban tekniğinin çok özel bir uygulamasını da kullanıyorlar.”

Nasıl yayılıyor?

Latin Amerika’da bankacılık sektörünü hedef alan çoğu truva atının aksine, Grandoreiro oldukça küçük dağıtım zincirleri kullanıyor. Farklı saldırılar için farklı türde bir indirici seçebiliyor. Bu indiriciler genellikle GitHub, Dropbox, Pastebin, 4shared veya 4Sync gibi iyi bilinen genel çevrimiçi paylaşım hizmetlerinde saklanıyor.

Korunmak için ne yapmak gerekir?

• Güvenliğinden ve meşruluğundan şüphe duyduğunuz online formlara asla hassas bankacılık bilgilerinizi girmeyin.
• Site ve uygulamaların erişim isteklerine daha dikkatle bakmaya çalışın, aralarında ilgisiz görünen izin talepleri varsa, en iyisi uzak durun.
• Merak ettiğiniz konularla ilgili karşınıza çıkan her linke tıklamayın. Koronavirüs konulu oltalama çabalarının çok arttığı şu dönemde, cazip teklif ve yönlendirmelerle ilgili ekstra temkinli olun.
• Güncel ve proaktif bir antivirüs, internet güvenliği ve mobil güvenlik çözümü kullanın.
• ESET güvenlik yazılımları, bu truva atına karşı koruyor.