A Medusa banki trójai új taktikával bukkan fel újra

June 26, 2024 Yanac Franciaország, Medusa, Olaszország, Pénzügyi szektor, RAT, Spanyolország, TangleBot, Törökország, Trójai

2024 májusában a Cleafy Threat Intelligence csapata új csalási kampányokat észlelt a Medusa (TangleBot) banki trójai segítségével, amely közel egy évig a radar alatt maradt. A Medusa, egy 2020-ban felfedezett kifinomult kártevőcsalád, olyan RAT-képességekkel rendelkezik, mint a billentyűzetfigyelés, a képernyő ellenőrzése és az SMS-ek lehallgatása, lehetővé téve a fenyegető szereplők számára az On-Device Fraud (ODF) végrehajtását. A Medusa legújabb mintái eltéréseket mutatnak a korábbi verziókhoz képest, beleértve a könnyebb jogosultságkészletet és az olyan új funkciókat, mint a teljes képernyő átfedések és az alkalmazások távoli eltávolítása.

A csapat öt különböző botnetet azonosított, amelyeket különböző leányvállalatok működtetnek, és olyan országokat céloznak meg, mint Törökország, Spanyolország, Franciaország és Olaszország. Ezek a kampányok újszerű terjesztési stratégiákat alkalmaznak, beleértve a hamis frissítéseknek álcázott “dropperek” használatát. A Medusa trójai alkalmazkodóképessége nyilvánvaló a minimálisra csökkentett engedélyekben, ami megnehezíti a felderítését, valamint a földrajzi terjeszkedésében, új régiókban. A legújabb változat jelentős változásokat mutat a parancsstruktúrájában, a lényeges és hatásos funkciókat helyezi előtérbe, miközben fenntartja a felderítéssel szembeni ellenálló képességét.

A legutóbbi kampányok részletei:

A Medúza-kampányok 2023 júliusa óta tartó újjáéledése változásokat hozott a TTP-kben és kibővítette a földrajzi célpontokat. A Cleafy vizsgálatai öt aktív, eltérő működési jellemzőkkel rendelkező botnetet tártak fel. A rosszindulatú szoftver háttér-infrastruktúrája több botnetet támogat, amelyek mindegyike sajátos címkékkel és célokkal rendelkezik. A Medusa alkalmazkodóképessége a könnyű engedélykészletében és a terjesztéshez használt dropperek stratégiai használatában mutatkozik meg. Az új változat öt új parancsot vezet be, köztük az alkalmazások eltávolítására és a képernyőfelületek beállítására szolgáló funkciókat, ami növeli a lopakodó képességét és hatékonyságát.

Ez az evolúció rávilágít a fenyegető szereplők folyamatos alkalmazkodására a felderítés elkerülése és a rosszindulatú szoftverek funkcionalitásának javítása érdekében. Az eredmények hangsúlyozzák, hogy éber kiberbiztonsági intézkedésekre és folyamatos megfigyelésre van szükség e kifinomult fenyegetésekkel szemben.

(forrás)

You May Also Like

A StrelaStealer malware Európa-szerte terjed, csak Oroszországban nem

Kibertámadás a szlovák Fio Banka ellen

CERT-FR: Kutatási szervezetek és agytrösztök fenyegetettsége