Google Sites üzerinden LoadPCBanker trojani 1

Google Sites üzerinden LoadPCBanker trojani

Kötü amaçlı yazılım, Portekizce veya İngilizce konuşan kişileri hedef almaktadır.
Saldırı, mağdurların otel rezervasyonu veya onayı hakkında kimlik avı e-postası almasıyla başlar.
Siber suçlular, Google Sites platformunda yerleşik olan dosya dolabı şablonunu kullanarak bir bankacılık trojanını kullanıyorlar. LoadPCBanker olarak adlandırılan kötü amaçlı yazılım, Portekizce veya İngilizce konuşan kişileri hedef almaktadır.

Truva atı nasıl yapılır – Netskope’deki güvenlik araştırmacıları, saldırganların nihai hedeflerine ulaşmak için indirmelerle yapılan saldırıdan yararlandığını keşfetti.

Bu kampanyada, tehdit oyuncuları önce Google Sites’ı kullanarak yeni bir web sitesi oluşturuyor ve daha sonra dosya dolabı şablonu üzerinden bir dosya yüklüyor. Son aşamada, kötü niyetli URL potansiyel hedeflere gönderilir.

Saldırı nasıl çalışır – Saldırı, mağdurların otel rezervasyonu veya onayı hakkında phishing e-postası almasıyla başlar. E-posta, Google Sites platformundaki kötü amaçlı siteye bir bağlantı içerir.

Bir alıcı bağlantıyı tıklarsa, PDF dosyasına benzeyen bir dosya indirilir. PDF dosyası aslında bir konukevi veya otel rezervasyonu olarak gizlenen kötü amaçlı yazılımdır.

LoadPCBanker kurulduktan sonra, kurbanın makinesinden birkaç hassas veri toplar. Bu, ekran görüntüsü yakalamayı, pano verilerini çalmayı ve tuş vuruşlarını kaydetmeyi içerir. Kötü amaçlı yazılım toplanan verileri, saldırganlar tarafından kontrol edilen bir MySQL sunucusuna gönderir.

Kötü amaçlı yazılım, virüs bulaşmış makine hakkında da bilgi çalabilir.

“Analizimiz sırasında, tehdit aktörünün belirli bir dizi makineyi sürmekle ve bu saldırıdan ödün verilmiş olan makinelerin ekran görüntülerini yakalamakla özellikle ilgilendiğini tespit ettik.

Sonuç olarak, Araştırmacılar benzer kötü amaçlı yazılımların 2014’ün başından bu yana ortaya çıktığını iddia ediyorlar. Ancak en son saldırı dalgası Şubat 2019’dan bu yana devam ediyor. Aynı grubun en son saldırıların gerisinde kalması veya kaynak kodun diğerleriyle paylaşılıp paylaşılmadığı belirsiz tehdit unsurlarıdır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir