bencede
New member
Analiz: Kimlik Avı Kiti V3B, Commerzbank, Sparkasse & Co için özel olarak tasarlanmıştır
Hizmet olarak kötü amaçlı yazılım modeli kapsamında, suçlular V3B kimlik avı kitini aylık ücret karşılığında kiralayabiliyor. V3B, Avrupa bankalarının müşteri verilerine erişmesine olanak sağlayacak şekilde özel olarak tasarlanmıştır. Buna birçok Alman bankası da dahildir. Resecurity'teki güvenlik araştırmacıları artık kötü amaçlı yazılımı analiz etti.
Duyuru
Duvar kağıtları
Raporlarının da gösterdiği gibi kit şu anda 54 Avrupa bankası için optimize edilmiş durumda. Almanya'da Commerzbank, Deutsche Bank, DKB, Hypovereinsbank, O2, Targo ve Volksbank bankaları bulunmaktadır. Siber suçluların en azından bu ülkede var olduğu açık, ancak artık güncel değiller: O2 bankacılığı teklifi 2022'de durduruldu.
V3B kimlik avı kiti, suçlulara Telegram messenger aracılığıyla otomatik olarak kurbanların bankacılık bilgilerini sağlar.
(Resim: Güvenlik)
Araştırmacılara göre kimlik avı kiti, diğer şeylerin yanı sıra, çevrimiçi bankacılık için oturum açma verilerine ve iki faktörlü kimlik doğrulama (2FA) kodlarına erişim sağlayan çeşitli modüller içeriyor.
Kötü amaçlı yazılım olasılığı
Saldırıların boyutu şu anda bilinmiyor. Araştırmacılar, suçluların 1.255'ten fazla üyesi olan bir Telegram grubu halinde organize olduklarını söylüyor. Kötü amaçlı yazılımın aylık fiyatlarının 130 ile 450 dolar arasında olduğu söyleniyor. Maliyetler, mevcut modüllerden ve belirli bankalara özel olarak hazırlanmış kodlardan oluşuyor.
Araştırmacılar, suçluların virüs tarayıcılarının algılamasını zorlaştırmak için kötü amaçlı kodlarını düzenli olarak güncellediklerini söylüyor. Buna, örneğin kod gizleme yoluyla BT güvenlik araçlarını yanıltmak amacıyla oturum açma verilerinin kopyalanması için optimize edilmiş yöntemler de dahildir.
Kit ayrıca, dolandırıcıların banka çalışanı kılığında kişisel verileri çalabilmesi için mağdurlarla canlı sohbete de olanak tanıyacak. Alman bankalarının PhotoTAN süreci aracılığıyla oluşturulan 2FA kodlarını ele geçirmesi için özel olarak tasarlanmış bir modül bile var. Araştırmacılar şu anda bunun nasıl çalıştığını ayrıntılı olarak açıklamıyorlar.
Çalınan verilerin suçluların eline geçmesini sağlamak için V3B, Telegram API'sini kullanıyor. Bu, dolandırıcıların anında bilgilendirildiği ve verileri kötüye kullanabileceği anlamına gelir.
Saldırı işaretlerini tanıyın
Raporun yazarları şu anda saldırıların nasıl gerçekleştiğini ayrıntılı olarak açıklamıyor. Bu bağlamda çeşitli sosyal mühendislik taktiklerinden bahsediyoruz. Saldırıların kimlik avı e-postaları ve web siteleri aracılığıyla başlatıldığı varsayılabilir.
Raporlarının sonunda araştırmacılar, halihazırda saldırıya uğramış sistemlerin nasıl tanınabileceğine dair bazı ipuçları sıralıyor. Buna, kötü amaçlı kod dosyalarının MD5 karmaları ve kundenaktualisierungen.cc gibi URL'ler de dahildir.
(İtibaren)
Haberin Sonu