Dünyanın Yeni Tehdidi

Dünyanın Yeni Tehdidi

Paylaş

kaspersky_globaltechmagazineKaspersky Lab’ın analistleri tarafından çevrimiçi bankacılık sistemleri ve müşterilerini tehdit eden yeni bir zararlı yazılım tespit edildi. Kötü şöhretli ZeuS Trojan’ın evrim geçirmiş hali olarak tanımlanan Trojan-Banker.Win32.Chthonic veya kısaca Chthonic, 15 ülkede 150 farklı banka ve 20 ödeme sistemini etkilemesiyle tanınıyor. Genellikle İngiltere, İspanya, ABD, Rusya, Japonya ve İtalya’da finansal kurumları hedeflediği görülüyor.

Chthonic, kayıtlı şifreler gibi çevrimiçi bankacılık bilgilerini çalmak için web kamerası ve klavye de dahil olmak üzere bilgisayarların işlevlerinden yararlanıyor. Saldırganlar bilgisayara uzaktan bağlanabiliyor ve işlemleri yürütmesi için komut verebiliyor.

Chthonic’in asıl silahı web enjektörleri. Bu silah Trojan’ın kendi kodunu ve imajını bilgisayarın tarayıcısı tarafından yüklenen banka sayfalarına girmesini sağlayarak saldırganların kurbanın telefon numarası, tek seferlik şifreleri ve PIN’lerinin yanı sıra kullanıcı tarafından girilen oturum açma bilgileri ve şifreleri elde etmesine olanak tanıyor.

Kurbanların bilgisayarına, zararlı kod için bir arka kapı oluşturan bir belge .DOC uzantısı taşıyan web bağlantıları veya e-posta eklentileri aracılığıyla virüs bulaştırılıyor. Eklenti, Microsoft Office ürünlerindeki CVE-2014-1761 güvenlik açığından yararlanmak için özel olarak tasarlanmış bir RTF belgesi içeriyor.

Şifreli bir konfigürasyon dosyası içeren zararlı kod bir kez indirildikten sonra msiexec.exe işlemine enjekte ediliyor ve bir dizi zararlı yazılım modülü makineye yükleniyor. Bugüne kadar Kaspersky Lab, sistem bilgilerini toplayan, kayıtlı şifreleri çalan, tuş vuruşlarını kaydeden, uzaktan erişim olanağı sağlayan ve varsa web kamerası ve mikrofon aracılığıyla video ve ses kaydeden çok sayıda modül tespit etti.

Japonya bankalarından birinin hedeflendiği bu vakada zararlı yazılım, bankanın uyarılarını gizlemiş ve bunun yerine saldırganların kurbanın hesabını kullanarak çeşitli işlemler gerçekleştirmesine olanak tanıyan bir betik enjekte etti.

Rusya bankalarının etkilenen müşterileri oturum açtıklarında tamamen sahte bankacılık sayfalarıyla karşılandı. Bu, web sitesinin orijinal pencereyle aynı boyuttaki kimlik avcılığı kopyasıyla bir iframe oluşturan Trojan tarafından gerçekleştirildi.

Chthonic diğer Trojan’larla ortak özellikler taşıyor. Andromeda botlarıyla aynı şifreleyici ve indiriciyi, Zeus AES ve Zeus V2 Trojan’larıyla aynı şifreleme şemasını ve ZeusVM ve KINS zararlı yazılımında kullanılan sanal makinenin bir benzerini kullanıyor.

Neyse ki Chthonic’in web enjeksiyonları gerçekleştirmek için kullandığı birçok kod fragmanı, bankalar sayfalarının yapısını ve hatta etki alanlarını değiştirdikleri için artık kullanılamıyor.

Bu araştırmada çalışan araştırmacılardan biri olan Kaspersky Lab Kıdemli Zararlı Yazılım Analisti Yury Namestnikov şunları söyledi: “Chthonic’in keşfi ZeuS Trojan’ının halen aktif olarak geliştiğini göstermektedir. Zararlı yazılım üreticileri, ZeuS kaynak kodunun sızmasının büyük ölçüde yardımcı olduğu en yeni tekniklerden en iyi şekilde faydalanmaktalar. Chthonic, ZeuS’un gelişiminde bir sonraki aşamadır. Daha fazla finansal kuruluş ve daha fazla masum tüketiciyi daha karmaşık yollardan hedeflemek için ZeusVM ve KINS tarafından kullanılana benzeyen bir sanal makine olan Zeus AES şifrelemeyi ve Andromeda indiriciyi kullanıyor. Önümüzdeki günlerde ZeuS’un yeni sürümlerini hiç şüphesiz göreceğimize inanmakla birlikte siber suçluların bir adım önünde bulunmak için her tehdidi izlemeye ve analiz etmeye de devam edeceğiz.”