Eternidade Stealer Kötü Amaçlı Yazılımı WhatsApp Aracılığıyla Brezilya Finans Sektörünü Hedefliyor

Yönetici Özeti

Siber güvenlik araştırmacıları, Brezilya'da Eternidade Stealer adlı bir bankacılık Truva atını içeren yeni, agresif bir kötü amaçlı yazılım kampanyası tespit etti. Kötü amaçlı yazılım WhatsApp aracılığıyla hızla yayılmakta ve hedefteki Brezilya bankalarının, fintech şirketlerinin ve büyük kripto para borsalarının oturum açma kimlik bilgilerini çalmak için tasarlanmıştır. Trustwave SpiderLabs, BlueVoyant ve Trend Research dahil olmak üzere firmalardan alınan analizler, bu kampanyanın Brezilyalı siber suç grupları tarafından kullanılan taktiklerde bir evrimi temsil ettiğini ve büyük ölçekli saldırıları gerçekleştirmek için popüler iletişim platformlarından giderek daha fazla yararlandıklarını göstermektedir.

Olay Detayı

Saldırı, kullanıcıların bir WhatsApp mesajından bir ZIP arşivini indirmeye kandırılmasıyla sosyal mühendislikle başlar. Bu arşiv, doğrudan yürütülebilir bir dosya yerine kötü amaçlı bir kısayol dosyası (.lnk) içerir. Açıldığında, bu kısayol ana yükü indirip yürüten gizlenmiş bir komut çalıştırır. ArmDot tarafından korunan bir .NET indirici olan kötü amaçlı yazılım, daha sonra powershell_ise.exe sürecine shellcode enjekte eder. Bu, bir dereceye kadar gizlice çalışmasına izin verir. En etkili özelliği, kendi kendini yayma mekanizmasıdır; kötü amaçlı yazılım, kurbanın aktif WhatsApp oturumunu kullanarak kötü amaçlı ZIP dosyasını tüm kişilere ve gruplara otomatik olarak dağıtır ve hızlı ve yaygın bir enfeksiyon sağlar.

Finansal Mekanizmalar ve Hedefler

Eternidade Stealer'ın birincil amacı kimlik bilgisi hırsızlığıdır. Kötü amaçlı yazılım, belirli finansal uygulamalarla ilişkili işlem adlarını veya pencere başlıklarını aramak için bir kurbanın sistemini aktif olarak izler. Bir eşleşme algılandığında, veri çalma işlevini etkinleştirir. Açıkça hedeflenen kuruluşlar arasında büyük Brezilya bankaları Bradesco ve BTG Pactual'ın yanı sıra küresel kripto para birimi platformları Binance ve Coinbase ile popüler yazılım cüzdanları MetaMask ve Trust Wallet yer almaktadır. Bu geniş hedefleme, Brezilya'daki dijital finans ekosisteminin geniş bir kesimini tehlikeye atmak için stratejik bir çabayı göstermektedir.

Piyasa Etkileri

WhatsApp'ın birincil dağıtım vektörü olarak kullanılması önemli bir piyasa gelişmesidir. Platformun her yerde bulunurluğunu ve kullanıcıların kişilerinden gelen mesajlara duyduğu doğal güveni kullanarak kötü amaçlı yazılımın yayılmasında olağanüstü derecede etkili olmasını sağlar. Bu saldırı, müşteri varlıkları için doğrudan bir tehdit oluşturmakta ve Brezilya'daki hem geleneksel bankacılık hem de gelişmekte olan kripto para birimi sektörlerinin güvenliğine olan güveni sarsmaktadır. Hedeflenen kurumlar için kampanya ciddi bir itibar riski oluşturmakta ve müşteri odaklı güvenlik protokollerinin ve eğitim çabalarının gözden geçirilmesini gerektirmektedir.

Uzman Yorumu

Trustwave SpiderLabs'ın analizine göre, kötü amaçlı yazılım dikkat çekici teknik sofistikasyon sergilemektedir. Komut ve kontrol (C2) sunucu adreslerini İnternet Mesaj Erişim Protokolü (IMAP) kullanarak dinamik olarak alır; bu yöntem, saldırganların altyapıyı anında güncellemesine ve kaldırma çabalarını karmaşıklaştırmasına olanak tanır. BlueVoyant'taki araştırmacılar, dağıtım için WhatsApp'ı da kullanan ve Brezilya'ya özgü coğrafi sınırlama kullanan "Maverick" adlı benzer bir kampanyayı izlemiştir; bu, disiplinli ve odaklanmış bir düşmanı düşündürmektedir. Kötü amaçlı yazılımın işlemleri enjekte etme yeteneği ve özel şifre çözme rutinleri, aktif ve gelişen bir tehdidi vurgulamaktadır.

Daha Geniş Bağlam

Bu kampanya, Brezilya'dan kaynaklanan giderek daha sofistike finansal kötü amaçlı yazılım eğiliminin bir parçasıdır. İlk olarak 2016'da ortaya çıkan Grandoreiro gibi önceki Truva atlarının izinden gitmektedir. Güvenlik analistleri, bölgedeki suçlu geliştirici gruplarının genellikle kodu paylaştığını, bunun da hızlı iyileştirmelere ve yeni özelliklerin eklenmesine yol açtığını belirtiyor. Kaba Truva atlarından Eternidade Stealer gibi karmaşık, kendi kendini yayan kötü amaçlı yazılımlara doğru evrim, Brezilya siber suç ortamının olgunlaşmasını ve küresel finans sistemine yönelik kalıcı ve büyüyen bir tehdidi vurgulamaktadır.