İçeriğe geçmek için "Enter"a basın

Emotet Zararlı Yazılımı Yine Gündemde – E-posta Kullanıcılarınızı Uyarın

2017 yılının ortalarından beri bir kaybolup bir ortaya çıkan Emotet bankacılık zararlı yazılımı son haftalarda yine gündemde.

Yeni bir zararlı yazılım kampanyası halinde gördüğümüz Emotet, Nozelesn fidye yazılımını dağıtarak özellikle konaklama endüstrisini hedef alıyor.

9 Ocak ile 7 Şubat tarihleri arasında 14.000’den fazla emotet spam e-postası tespit edilmiş ve belirli bir bölge değil tüm dünyada yayıldığı söyleniyor.

En yoğun şekilde hedef alınan ülkeler İngiltere, Kıbrıs, Almanya, Arjantin ve Kanada.

Saldırganlar, en sık kullanılan sosyal mühendislik taktiklerinden olan “en son faturanız”, “alışveriş detaylarınız”, “bugün yapmış olduğunuz para transferi” ve “acil teslimat detayları” gibi isimlerle hazırladıkları zararlı yazılım içeren dosyalar ileterek, gönderilen link veya dosya ekine tıklanması halinde zararlı yazılımı bulaştırıyorlar.

Spam e-postaları içerisinde gelen Word dokümanı açıldığı takdirde bir makro devreye giriyor ve PowerShell aracılığıyla zararlı yazılım bilgisayara iniyor.

Emotet Zararlı Yazılımının Bulaşma Süreci

İncelemeler sırasında, araştırmacıların sunucuda bulunan “How_Fix_Nozelesn_files.htm” isimli şüpheli bir dosyayı fark etmeleri sonucunda, Nozelesn fidye yazılımı enfeksiyonu belirtilerine rastlandı.

Kötü amaçlı belge dosyasının Microsoft Word’de açıldığı ve Google Chrome üzerinden indirildiği ortaya çıkartıldı.

Kurbanlar dosyayı açtıktan sonra, PowerShell.exe’nin birkaç IP adresine bağlanmak ve 942.exe isimli başka bir dosya oluşturmak için devreye girdiği tespit edildi.

Trend Micro araştırmacıları “Davranışına bağlı olarak, kötü amaçlı yazılım, sistemde devreye sokacağı başka bir kötü amaçlı yazılımı indirmek için birden fazla IP adresine bağlanıyor olabilir. Sürekli olarak kendi güncellemesini indirdiğini ve her seferinde yeni bir komuta ve kontrol (C&C) sunucusu grubuyla iletişim kurduğunu fark ettik.” dedi.

Kurbanların Finansal Bilgileri Çalınıyor

Emotet zararlı yazılımının yeni versiyonu ile saldırganlar, hedefledikleri bilgisayara zararlı yazılım bulaştırarak kurbanların hassas verilerine erişmeyi ardından da bankacılık ve finansal bilgilerini çalmayı hedefliyor.

US-Cert (A.B.D’nin USOM’u) bir uyarı yayınlayarak, Emotet zararlı yazılım salgını ile ilgili hükümetleri, özel ve kamu sektörlerini “çeşitli hassas verilerin çok farklı yöntemler ve olabilecek en yıkıcı şekilde” çalınmaya çalışıldığına dair uyardı.

Saldırganların, VirusTotal’e yakalanmamak için de çeşitli teknikler kullandığı tespit edildi.

İşletim sistemi özelliklerinin, hedeflenen bilgisayarlara önceden kurulmuş araçların veya kurbanların ağlarını tehlikeye atmak için meşru ağ yönetimi araçlarının kullanıldığı tahmin ediliyor.

EMOTET Zararlı Yazılımı Yayılma Süreci

Enfeksiyonun ilk dalgası malspam e-posta kampanyaları ile başlıyor. Saldırganlar, zararlı yazılım içeren dokümanlarını e-postanın içerisinde yer alan URL linklerine veya “fatura” vb. isimler verdikleri eklere veya çeşitli .pdf formatındaki dökümanlara gizliyor.

“__Denuncia_Activa_CL.PDF.bat” olarak tanımlanan kötü amaçlı yazılım eki, e-posta ekinde gizlenmiş bir kaynak kodu ile gelerek antivirüsleri atlatmayı ve analiz edilmesini zorlaştırmayı hedefliyor.

Kurbanın tıklaması veya eki açması sonucu çalışan .bat dosyası ile bir Windows komut dosyası devreye giriyor ve ikinci komut dosyasını indirmek için Komuta ve Kontrol (C&C) sunucusuna bağlanıyor.

Seguranca – informatica firmasından Pedro Tavares tarafından yapılan araştırmaya göre WinRar / Ace güvenlik açığını (CVE-2018-20250) istismar eden kötü amaçlı yazılım kendisini Windows başlangıç klasörüne gizliyor. Ardından, virüs bulaşmış makine yeniden başlatıyor ve sistem başlangıcında kötü amaçlı yazılım kalıcı hale geliyor.

Siber suçluların VM koruma teknikleri, hata ayıklama koruması, sanal makine emülasyonu, monitör izleme teknikleri, bellek düzeltme eki gibi özelliklerinden faydalandığı Themida packer ve  bunun yanı sıra kullanıcının lokasyonu, dil tercihleri gibi bilgileri ileten farklı modüllerin eklendiği yeni Emotet zararlı yazılımı ile saldırganlar hedef kitlelerini istedikleri gibi seçebiliyor.

Enfeksiyon sürecinin tamamlanmasından sonra, Emotet, komuta ve kontrol sunucusuna enfeksiyon tarih ve saati, kurbanın bilgisayarının uzak IP bilgisi, işletim sistemi versiyonu ve antivirüs adı gibi bilgileri gönderiyor.

Paylaş

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir