Ana Sayfa Haberler Bu truva atı, online bankacılık müşterilerini hedef alıyor

Bu truva atı, online bankacılık müşterilerini hedef alıyor

eset-globaltechmagazineHızla artan siber dolandırıcılık vakalarına dikkat çeken Eset, online banka müşterilerini hedef alan modüler bir truva atı tespit etti.

Siber suçluların ihtiyaca göre eklenti dahil ettiği bu zararlı; Polonya, İtalya, Almanya, Avusturya ve Ukrayna’da ortaya çıktı. DanaBot adlı bu truva atı, cihazların kontrolünü ele geçirerek, finansal bilgilere ulaşmayı hedefliyor. 

ESET AraÅŸtırmacılarının tespitlerine göre, modüler bir bankacılık Truva atı olan DanaBot, aslında ilk kez Mayıs 2018’de Avustralyalı kullanıcıları hedefleyen kötü amaçlı e-posta saldırılarında keÅŸfedildi. Ancak zararlı yazılım, Eylül 2018 itibarıyla yoÄŸun ÅŸekilde Avrupa’da  Polonya, İtalya, Almanya, Avusturya ve Ukrayna’da ortaya çıktı ve böylece faaliyet alanını geniÅŸletti.

DanaBot truva atı, çok aşamalı ve çok bileşenli bir mimariye sahip. Özelliklerinin çoğu ise eklentiler tarafından uygulanıyor. Keşfedildiği zamanlarda, zararlı yazılımın aktif gelişim sürecinde olduğu belirtilirken, uzmanlar bu gelişimin hala devam ettiğine dikkat çekiyor.

Avustralya’da yaygın olarak rapor edilen baÅŸlangıç saldırısından yalnızca iki hafta sonra DanaBot, Polonya’yı hedefleyen bir saldırı dalgasında tespit edildi. Polonya saldırısının arkasındaki saldırganlar, kurbanlarını tehlikeye atmak için çeÅŸitli firmalardan gönderilmiÅŸ sahte faturalar içeren e-postaları kullanıyor.  Kullanıcılar, eklentilere tıklayarak, truva atını kendi sistemine bulaÅŸtırıyor. 

En büyük özelliği modüler olması

Modüler mimarisi göz önüne alındığında DanaBot, sahip olduğu özelliklerin çoğu için eklentilere ihtiyaç duyuyor. ESET araştırmacılarına göre zararlı yazılım bu sayede ihtiyaca göre kullanım alanını değiştirebiliyor. ESET uzmanlarının tespit ettiği eklentiler ise şöyle sıralanıyor:

  • VNC eklentisi – Kurbanın bilgisayarıyla baÄŸlantı kurarak onu uzaktan kontrol eder.
  • Sniffer eklentisi – Genelde internet bankacılığı sitelerini ziyaret ederken kurbanın tarayıcısına zararlı scriptler enjekte eder.
  • Stealer eklentisi – Pek çok farklı uygulamadan parola bilgilerini toplar. (tarayıcılar, FTP istemcileri, VPN istemcileri, anlık mesajlaÅŸma ve e-posta programları, poker programları vs.).
  • TOR eklentisi – Bir TOR proxy yükleyerek .onion web sitelerine eriÅŸim saÄŸlar.

Modüler mimariyle etki alanlarını genişletmeyi hedefliyorlar

ESET AraÅŸtırmacılarının bulguları, DanaBot’un hala aktif olarak kullanılmakta ve geliÅŸtirilmekte olduÄŸunu ve Avrupa ülkeleri arasında yeni hedefler keÅŸfetmeye çalıştığına iÅŸaret ediyor. Avrupa ülkelerine odaklanan son saldırı dalgalarında görülen yeni özellikler, DanaBot’un arkasındaki saldırganların zararlı yazılımın modüler mimarisini kullanarak etki alanlarını ve baÅŸarı oranlarını artırmaya çalıştıklarını göstermektedir. ESET yazılımları, tüm DanaBot bileÅŸenlerini ve eklentilerini tespit edip engellemektedir.