Siber saldırganların gözü fintech şirketlerinde

0

BEĞENDİM

ABONE OL

News

0

ESET araştırmacıları, istenilmeyen amaçlı Evilnum yazılımının arkasındaki Evilnum APT Grubu’nun faaliyetlerine ilişkin kapsamlı bir tahlil yayınladı. Bu tahlile nazaran bu küme, online ticarete yönelik platform ve araçlar sağlayan finansal teknoloji şirketlerini gaye alıyor. Gayeler şirketlerin birden fazla Avrupa ülkelerinde ve İngiltere’de bulunsa da Avustralya ve Kanada üzere ülkelerde de taarruzlar saptandı.

Hangi belge yahut bilgilere ulaşmaya çalışıyor?

Evilnum kümesinin asıl gayesi hem gaye alınan şirketlerin hem de müşterilerinin finansal bilgilerini ele geçirmek. Evilnum, müşteri kredi kartı bilgileri ve adres/kimlik belgeleri, müşteri listelerinin bölge aldığı tablolar ve belgeler, yatırımlar ve ticari faaliyetler, yazılım lisansları ve ticaret yazılımlarının ya da platformlarının kimlik bilgileri, e-posta bilgileri ve vesair veriler de dahil olmak üzere hassas bilgileri çalıyor. Küme, VPN yapılandırmaları üzere bilişim sistemlerine ilişkin de erişim sağlıyor. Veriler, şirketlerde müşterilerinden sistemli olarak kimlik ya da kredi kartı bilgilerini alan teknik destek temsilcileri ve hesap yöneticilerinin gaye alındığını gösteriyor.

Gayrı karanlık kümelerle iş birliği yapıyor

Evilnum ile ilgili soruşturmayı yöneten siber güvenlik kompetanı Matias Porolli, şunları dile getirdi “Bu beğenilmeyen amaçlı yazılım en az 2018 yılından beri umarsızca kullanılıyor ve daha önce belgelendirilmiş olmasına rağmen, bunun arkasındaki küme ve nasıl faaliyet gösterdiği hakkında çok az içerik yayımlandı. Tespitlerimize nazaran Evilnum, beğenilmeyen amaçlı yazılım sağlayıcısı Golden Chickens’tan satın alındığı araçları da kullanarak, hususî ve konut prodüksiyonu beğenilmeyen amaçlı yazılımlarla faaliyetlerini gerçekleştiriyor.

Taarruz nasıl gerçekleşiyor?

Porolli kelamlarını şöyle sürdürdü: “Hedeflere, içerisinde Google Drive’da barındırılan bir ZIP evrakı kontağının yan aldığı kimlik avı dolandırıcılığı amaçlı e-postalarla yaklaşılıyor. O arşivin içerisinde, bir yandan istenilmeyen amaçlı bir bileşeni ayıklayıp yürütürken, gayri yandan da düzmece bir belge görüntüleyen çok sayıda kısa yol evrakı nokta alıyor.

Parola yekuna, ekran manzarası alma…

Birçok berbat amaçlı kodda da olduğu üzere Evilnum, beğenilmeyen amaçlı yazılımına komutlar gönderilebiliyor. Bu komutlar arasında Google Chrome tarafından kaydedilen parolaları yekuna ve gönderme, ekran imgeleri alma, beğenilmeyen amaçlı yazılımı durdurma ve sürekliliği kaldırma, Google Chrome çerezlerini yekuna ve bir komuta ve denetim sunucusuna gönderme üzere komutlar mekan alıyor.