Dark Tequila Gelişmiş Bankacılık Zararlısı Kurbanlarını Akıllıca Seçiyor

Kaspersky Lab araştırmacıları Meksika ve Diğer Latin Amerika ülkelerini etkileyen ve adına “Dark Tequila” dedikleri bir zararlı yazılım bulduklarını açıkladı.

Araştırmacılar bu zararlı yazılımın en az 2013 yılından beri özellikle Meksika’da aktif olduğunu ancak fark edilemediğini ve kolaylıkla her yere yayılabilecek türde olduğunu düşünüyor.

İnternete bağlı olmasa bile yerel ağdaki diğer sistemlere yayılabilen böylece  internete sınırlı erişimi olan ağlarda bile etkili olabilecek şekilde tasarlanmış olan zararlı yazılımın “beklenmedik derecede gelişmiş” olduğu söylenirken, geliştiricilerin İspanyolca konuşan ve Latin Amerika kökenli kişi ya da kişiler olduğu düşünülüyor.

(“Abrir la carpeta para ver los archivos” dosyaları görmek için klasörü aç anlamına geliyor ve “archivos” kelimesi sadece İspanyolca konuşan ve Latin Amerika kökenli kişilerce kullanılıyor)

Dark Tequila zararlı yazılımı, bulaştığı sistem üzerinde bulunan banka, kişisel veya kurumsal bilgileri topluyor. Kullanıcının sabit diskinde “sinsi gibi” beklediğinden, online bankacılık sitelerindeki finansal verileri, popüler web sayfalarına girişlerdeki kimlik bilgilerini, iş ve kişisel e-postaları, alan adı kayıt bilgilerini, dosya depolama servislerine girilen kimlik bilgilerini çalıyor.

Zararlı yazılım tarafından hedeflenen web sitelerinden en tanıdık olanlar arasında Microsoft Office 365, IBM Lotus Notes istemcileri, Amazon, GoDaddy, online uçak  rezervasyon sistemleri gibi pek çok popüler sayfa yer alıyor.

Kaspersky Lab araştırmacılarına göre başlıca bulaşma yöntemi hedefli oltalama ve zararlı yazılım bulaşmış olan USB flash diskler. Özellikle USB belleklerin kişilerin meraklı olması ya da risklerin yeterince farkında olmaması nedeniyle oldukça etkili bir yöntem olduğu belirtilmiş.

İlk bakışta Dark Tequila mali kazanç için bilgi ve kimlik avı yapan herhangi bir banka Trojan’ına benziyor ancak derin bir inceleme yapıldığında finansal tehditlerde sıkça görülmeyen oldukça karmaşık yapıya sahip bir zararlı yazılım olduğu anlaşılıyor. Kodun modüler yapısı ve gizlenme/algılama mekanizmaları hem fark edilmesini engelliyor hem de zararlı yazılımın ancak “güvende olduğunu düşündüğü” bilgisayarda devreye girmesini sağlıyor. Zararlı yazılım bir kere bilgisayara bulaştıktan sonra bir komuta sunucusuna bağlanıyor ve ek modüllerini indiriyor.

İşin en ilginç tarafı da bu; zararlı yazılım bulunduğu bilgisayarın gerçek bir kurbana ait olduğuna inanırsa devreye giriyor, bir analiz ortamında olduğunu “düşünürse” faaliyete geçmiyor. (Bu da bize, daha önce ele aldığımız, zararlı yazılımlarda yapay zeka kullanımı konusunu hatırlatıyor.) Bulunduğu ortamı analiz edebilen ve güvenlik çözümleri atlatabilen bir zararlı yazılımdan bahsediyoruz.

Dark Tequila zararlı yazılımı keylogger (klavye hareketlerini kaydetme) ve ağ izleme özelliği içeriyor ve önemli ölçüde kendi kendini yayma kapasitesine sahip. Bu da şu anlama geliyor, eğer kurban herhangi bir USB belleği bilgisayarına takarsa zararlı yazılım kendisini klonluyor ve yeni bir kişiye de bulaşabilir hale geliyor. Çok “Stuxnetvari” hareketler bunlar.

Birkaç yıldır aktif olduğu bilinen ve hala yeni örneklerine rastlanan zararlı yazılım bugüne kadar sadece Meksika’da hedeflere saldırdı, ancak teknik kapasitesi dünyanın herhangi bir yerinde hedeflere saldırmak için uygun.

Zararlı yazılımın 6 ana modüleden oluştuğu da belirlenmiş:

  • Modül 1:  Komuta sunucusu ile iletişimden sorumlu. Birkaç popüler web sitesiyle sertifikaları doğrulayarak, bulunduğu bir ağda denetiminin gerçekleştirilip gerçekleştirilmediğini doğruluyor.
  • Modül 2: Temizleme. Servis, bir sanal makinede çalıştığı gibi, ortamdaki herhangi bir ‘şüpheli’ etkinliği algılarsa veya arka planda hata ayıklama araçları (debugging tools) çalışıyorsa, tam bir temizleme gerçekleştirmek için bu modülü yürütür. Sistem, daha önce sistemde oluşturulan dosyaların yanı sıra kalıcılık servisini de kaldırır. Yani kendi kendini yok eder.
  • Modül 3: Keylogger ve Windows Monitor. Bu, online bankacılık sitelerinin yanı sıra online uçak rezervasyon sistemleri, Microsoft Office365, IBM Lotus, Bitbucket, Amazon, GoDaddy, Dropbox gibi uzun bir listeden oluşan sitelerden kimlik bilgilerini çalmak üzere tasarlanmıştır.
  • Modül 4: Bulaştığı sistem üzerinde kayıtlı tutulan e-posta, FTP ve web sayfası parolalarını çalmak için devreye giriyor.
  • Modül 5: Otomatik olarak çalıştırmak üzere yürütülebilir bir dosyayı flash diske kopyalar. Bu, kötü amaçlı yazılımın, bir makineye başlangıçta hedefli oltalama ile bulaştığı durumlarda bile, kurbanın ağı üzerinden çevrimdışı hareket etmesini sağlar. Virüs bulaşan bilgisayara başka bir USB bağlandığında, otomatik olarak ona da virüs bulaşır ve kötü amaçlı yazılım başka hedeflere de yayılabilir hale gelir.
  • Modül 6: Kötü amaçlı yazılımın düzgün çalıştığını kontrol etmekten sorumludur.
  • Araştırmacılar zararlı yazılımın tüm dünyaya yayılması ihtimali üzerinde duruyor.

Uzak durmak için özellikle flash disklerin auto run özelliğinin kapatılması, bilinmeyen hiçbir cihazın bilgisayara bağlanmaması ve bilinmeyen USB belleklerin asla kullanılmaması gerekiyor.

Yaptığımız sosyal mühendislik testleri ve verdiğimiz farkındalık eğitimleri kuruluş genelinde farkındalığı artırıp çalışanlarınızı bu yazıdakine benzer tehlikelerden koruyor. Bunun yanında siber tehdit avcılığı hizmetimiz ağ ve sistemlerinize önceden bulaşmış olması muhtemel zararlı yazılımların tespit edilmesini sağlar.

 

 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*