Yazılar

Zeus alternatifi bankacılık trojanı Pandemiya iddialı geldi

Bir süredir hybrid bankacılık zararlı yazılımlarının yükselişe geçtiği malum. Fakat yine de Zeus’a güçlü bir alternatif bekleyişi hakimdir. Bu uzun sürmedi ve Zeus’a alternatif olabilecek güçlü bir zararlı yazılım olan Pandemiya ortaya çıktı.

Pandemiye trojanının en temel paketi 1500 dolar gibi bir rakama satılıyor. Eğer ek modüller alırsanız bu rakam 2000 doları bulabiliyor. Zararlı yazılım bir bankacılık trojanında olması gereken her türlü gelişmiş özelliğe sahip. Bunlar arasında dosya yakalama, antivirus atlatma, veri çalma, ekran görüntüsü yakalama, C&C merkeziyle şifreli iletişim gibi özellikler var. Pandemiya zararlısı modüler şekilde geliştirilmiş adeta iddialı bir yazılım projesi gibi. Eklenti sistemi sayesinde istenen özellikler ana yazılıma kazandırılabiliyor.

Bu arada özellikle belirtmek gereken konu Pandemiya’nın sıfırdan yazılan bir trojan olduğu. Yani Zeus, Citadel, Carberp vb. diğer bankacılık zararlı yazılımlarıyla ortak bir kod paylaşmıyor. Pandemiya kodlanırken bir yıl içerisinde 25.000 C kodu yazılmış. Bu da ciddi bir efor anlamına geliyor. Developer veya developerların ana hedefi ise zararlının tespit edilmesini olabildiğince güçleştirmek. Özellikle son olarak yürütülen uluslararası Gameover/Zeus operasyonundan da ders alan developer alıntı kod kullanmamak ve zararlının analiz sürecini uzatarak kodu korumak için büyük bir çaba göstermiş.

Pandemiya’nın ek ücretle sunulan eklentileri arasında ise reverse proxy, FTP stealer, PE infector gibi modüller bulunuyor. Bunun dışında gizli RDP, Facebook spreader gibi henüz test aşamasında olan eklentiler de mevcut.

Bakalım ileriki zamanlarda Pandemiye Türkiye ve bulunduğu bölgede ne derece yayılacak. Son aylarda MITB (Man in the Browser) saldırılarının, bankacılık şifresi ileten cep telefonu zararlılarının kol gezdiği ülkemizdeki siber suçlular bunu ne zaman değerlendirecek.

zeus-alternatifi-bankacilik-trojani-pandemiya-iddiali-geldi

“Man in the browser” tehditi

man-in-the-browser-internet-bankaciligiSiber suçların hızla arttığı günümüzde bankacılık sektörü, adına Man in the browser denilen saldırı çeşidiyle daha da risk altında. Internet bankacılığı operasyonlarının zayıf karnı platformların sosyal medya, mobil gibi riskli alanlara açılıyor olması. Phishing, sosyal mühendislik gibi tehditler bu yüzden halen revaçta olmayı sürdürüyor. Diğer yandan keylogger içeren zararlı yazılımlar, ekran görüntülerini yakalayıp aktaran zararlı yazılım modülleri de mevcut. Fakat bu etkin zararlı yazılım bulaştırma yolu artık Man in the browser saldırıları için kullanılıyor.

Man in the browser saldırı tekniği diğer tekniklerle bir yönde ayrışıyor. Burada kurbanın şifresini almak yerine kullandığı browser üzerine zararlı yazılım yerleştirilerek saldırı gerçekleştiriliyor. Man in the browser tekniği ile yazılan zararlı yazılım bir browser eklentisi tarzında Active X, Browser eklentisi, Add-on, Plugin, API aracı gibi yüklenebiliyor.

Bir nevi proxy gibi çalışan zararlı yazılım içeren browser eklentisi kullanıcının yaptığı transferleri, değiştiriyor veya hiç gerçekleştirmediği transferleri gerçekleştiriyor. İki aşamalı şifrelerin de korumadığı bu saldırı biçiminde zararlı yazılım para transfer etmek veya diğer işlemler için kullanıcının internet bankacılığına giriş yapmasını veya bir para transfer işlemi yapmasını bekliyor.

TerraMedusa Blog’un önceki yazılarda da bir çoğunu incelediğimiz Man in the browser yeteneklerine sahip internet bankacılığı zararlı yazılımları şu an için Zeus, Carberp, Sinowal ve Clampi olarak sıralanabilir.