Casbaneiro Kötü Amaçlı Yazılım Grubunun UAC Atlama Tekniği
Casbaneiro, aynı zamanda Metamorfo ve Ponteiro olarak da bilinen bir bankacılık kötü amaçlı yazılım ailesidir ve ilk olarak 2018 yılında Latin Amerika finans sektörünü hedef alan toplu e-posta spam kampanyalarında ortaya çıkmıştır. Bu kötü amaçlı yazılımın arkasındaki mali tehdit aktörleri, hedef makinede tam yönetici ayrıcalıkları elde etmek için Kullanıcı Hesabı Denetimi (UAC) atlama tekniğini kullanmaktadır.
Siber güvenlik şirketi Sygnia, Casbaneiro’nun hala büyük ölçüde Latin Amerika finans kurumlarına odaklandığını, ancak saldırganların tekniklerindeki değişikliklerin çok bölgeli finans kuruluşları için de risk oluşturduğunu belirtmiştir. Saldırı zincirleri genellikle bir kimlik avı e-postasıyla başlar ve bu e-postada bubi tuzaklı bir eke işaret eden bir hedef odaklı kimlik avı bağlantısı bulunur. Bu bubi tuzaklı ek başlatıldığında, bankacılık kötü amaçlı yazılımının konuşlandırılması için bir dizi adımı etkinleştirir.
Son saldırı dalgalarında değişiklikler tespit edilmiştir. Saldırganlar, hedefi RAR dosyasını indirmeye yönlendiren bir HTML dosyasına bağlantı içeren hedef odaklı kimlik avı e-postaları kullanmaya başlamıştır. Bu, önceki saldırılarda kullanılan kötü amaçlı PDF eklerine yönlendiren ZIP dosyalarından farklı bir saldırı yöntemidir.
Ayrıca, saldırganlar fodhelper.exe adlı bir dosyayı kullanarak UAC atlama tekniğini uygulamaktadır. Bu yöntemle, yüksek bütünlük düzeyinde yürütme elde etmeyi amaçlamaktadırlar. Sahte klasör yaklaşımı ile, saldırganlar sahte bir klasör oluşturup bu klasöre fodhelper.exe yürütülebilir dosyasını kopyalayarak AV algılamalarını atlamayı hedeflemektedirler. Ayrıca, bu sahte klasörü UAC atlama için Microsoft imzalı ikili dosyalara sahip yandan yüklenen DLL’ler için kullanmak da mümkündür.
Bu gelişmeler, Casbaneiro saldırganlarının kampanyalarında kötü amaçlı yazılım yükleyicileri ve uzaktan erişim truva atları gibi yöntemler kullanarak saldırılarını çeşitlendirdiğini göstermektedir. Sahte güvenilir klasör yaklaşımı, özellikle son aylarda vahşi doğada üçüncü kez tespit edilmiştir ve bu durum, saldırganların yeni ve sofistike yöntemler geliştirmeye devam ettiğini göstermektedir. Latin Amerika finans kurumları başta olmak üzere diğer bölgeli finans kuruluşlarının da bu tür saldırılara karşı dikkatli olmaları ve güvenlik önlemlerini güncellemeleri önemlidir.