İspanya İçişleri Bakanlığı’nın yaptığı duyuruda, Grandoreiro ve Melcoz (Mekotio olarakta bilinen) olarak bilinen bankacılık truva atlarıyla bağlantılı 16 kişinin tutuklandığını açıkladı.
İspanya’nın ulusal iki kolluk kuvvetinden biri olan Guardia Civil, Aguas Vivas adını verdikleri operasyon çerçevesinde 1 yıl boyunca süren soruşturmalardan sonra belirlenen 16 kişinin tutuklandığı, bu kişilerin bulundukları yerlerin arandığı ve arama sırasında diğer delillerle birlikte tüm dijital delillere de el koyulduğu belirtiliyor.
Bununla birlikte yetkililer, 1800’den fazla e-posta analizi sonrasında 3.5 Milyon Euro’luk tutarındaki bir para transferininde başarıyla engellendiğini duyurdular. Bankacılık truva atı kullanılarak elde edilen 276,470 Bin Euro’dan, 87 Bin Euro’sunun geri alındığını da eklediler.
Kimlik avı saldırısı ve sonrasında zararlı yazılımı yükleme
Çete üyeleri kimlik avı saldırılarını gerçekleştirirken, inandırıcılığı arttırmark maksadıyla resmi devlet kurumları, GSM operatörleri veya kurye hizmetleri kisvesi altında e-postalar göndermişler. Gönderilen e-postalarda bulunan bağlantılar veya ekte yer alan dosyalara tıklanması yoluyla zararlı yazılımları kullanıcıların bilgisayarlarına bulaştırıyorlarmış.
Zararlı yazılım sisteme bulaşıp, bir kullanıcı ne zaman bankacılık hizmetleriyle ilgili bir işlem yapmaya başladığı zaman aktif olmaya başladığı belirtiliyor. Saldırganlar, kurbanların banka hesaplarına eriştikten sonra hesap içerisinde yer alan miktarları kendilerinin kontrol ettikleri hesaplara göndermişler.
Bilinmeyen hesaplara para aktarımı
Guardia Civil; tüm kurbanların hemfikir olduğu kısmın ise web üzerinden herhangi bir bankacılık işlemi gerçekleştirdikten sonra, erişim engellenene kadar bilgisayarlarının birkaç kez yeniden başlatıldığı ve daha sonra bilinmeyen hesaplara büyük miktarda para aktarıldığının anlaşılması olarak belirtiyor.
Daha sonra ise olası bir Polis soruşturmasına yakalanmamak için ve parayı aklayabilmek için ATM’lerden nakit çekildiği, başka hesaplara aktarıldığı ve BIZUM, REVOLUT vs. gibi kartları kullanmışlar.
3.5 Milyon Euro’luk para transferi engellenmiş
Araştırmacıların yaptıkları analizlerde resmi kurumlara ait en az 68 e-posta hesabında Grandoreiro ve Melcoz truva atlarının izine ve beklemede olan şüpheli aktivitelere rastlamışlar. 1800’den fazla e-posta analizi sonrasında 3.5 Milyon Euro’luk tutarındaki bir para transferininde başarıyla engellenmiş.
Kaspersky: Asıl tehdit aktörleri Brezilya’da
Kaspersky’nin araştırmasına göre; Grandoreiro and Melcoz truva atlarının her ikisinin de aslen Brezilyalı olduğu ve birkaç yıldır Latin Amerika ve Batı Avrupa’da faaliyet gösteren Tetrade şemsiyesinin bir parçasını oluşturduğunu belirtiyor.
Ocak 2020’den bu yana Grandoreiro truva atı kullanılarak çoğunlukla Brezilya, Meksika, İspanya, Portekiz ve Türkiye’yedeki kullanıcılara yönelik saldırılar olduğu belirtilmiş. Melcoz truva atı kullanılarak ise aktif olarak Brezilya, Şili ve İspanya’daki kullanıcıların hedeflediği belirtilmiş.
Kaspersky araştırmacıları, İspanya’da gerçekleşen tutuklamaların önemli olduğunu ama her iki kötü amaçlı yazılım ailesinin de Brezilya’dan olduğu için tutuklanan bu kişilerin yalnızca operatör olduklarını belirtiyor. Yani asıl tehdit aktörlerinin hala serbest olduğunun ve başka yeni operatörler bulabilecekleri düşünülüyor.
Resim Kaynak: Guardia Civil
