Yazılar

Zeus alternatifi bankacılık trojanı Pandemiya iddialı geldi

Bir süredir hybrid bankacılık zararlı yazılımlarının yükselişe geçtiği malum. Fakat yine de Zeus’a güçlü bir alternatif bekleyişi hakimdir. Bu uzun sürmedi ve Zeus’a alternatif olabilecek güçlü bir zararlı yazılım olan Pandemiya ortaya çıktı.

Pandemiye trojanının en temel paketi 1500 dolar gibi bir rakama satılıyor. Eğer ek modüller alırsanız bu rakam 2000 doları bulabiliyor. Zararlı yazılım bir bankacılık trojanında olması gereken her türlü gelişmiş özelliğe sahip. Bunlar arasında dosya yakalama, antivirus atlatma, veri çalma, ekran görüntüsü yakalama, C&C merkeziyle şifreli iletişim gibi özellikler var. Pandemiya zararlısı modüler şekilde geliştirilmiş adeta iddialı bir yazılım projesi gibi. Eklenti sistemi sayesinde istenen özellikler ana yazılıma kazandırılabiliyor.

Bu arada özellikle belirtmek gereken konu Pandemiya’nın sıfırdan yazılan bir trojan olduğu. Yani Zeus, Citadel, Carberp vb. diğer bankacılık zararlı yazılımlarıyla ortak bir kod paylaşmıyor. Pandemiya kodlanırken bir yıl içerisinde 25.000 C kodu yazılmış. Bu da ciddi bir efor anlamına geliyor. Developer veya developerların ana hedefi ise zararlının tespit edilmesini olabildiğince güçleştirmek. Özellikle son olarak yürütülen uluslararası Gameover/Zeus operasyonundan da ders alan developer alıntı kod kullanmamak ve zararlının analiz sürecini uzatarak kodu korumak için büyük bir çaba göstermiş.

Pandemiya’nın ek ücretle sunulan eklentileri arasında ise reverse proxy, FTP stealer, PE infector gibi modüller bulunuyor. Bunun dışında gizli RDP, Facebook spreader gibi henüz test aşamasında olan eklentiler de mevcut.

Bakalım ileriki zamanlarda Pandemiye Türkiye ve bulunduğu bölgede ne derece yayılacak. Son aylarda MITB (Man in the Browser) saldırılarının, bankacılık şifresi ileten cep telefonu zararlılarının kol gezdiği ülkemizdeki siber suçlular bunu ne zaman değerlendirecek.

zeus-alternatifi-bankacilik-trojani-pandemiya-iddiali-geldi

Internet bankacılığı zararlısı Zeus ve Carberp güç birleştirdi

internet-bankaciligi-trojani-zeus-ve-carberp-guc-birlestirdiYeni bir internet bankacılığı trojanı dünya çapında 450’nin üzerinde finansal kurumu tehdit etmeye başladı. Bu yeni internet bankacılığı trojanı Zeus ve Carberp zararlı yazılım ailesinin özelliklerini birleştirebilmiş olmasıyla öne çıkıyor.

Yeni zararlı yazılım Zberp sistemlerden hedeflenmiş verileri sızdırıyor, ekran görüntüleri alarak bunları iletiyor, SSL sertifikalarına müdahale ederek online formlara girilen verileri yakalıyor, FTP ve POP3 şifrelerini ele geçiriyor, MITB tekniğiyle kullanıcı ile browser arasına girerek oturumları değiştirebiliyor. Yeni zararlının bunun dışında da özellikleri bulunuyor ve yapı olarak oldukça komplike bir internet bankacılığı odaklı zararlı yazılım.

Zberp ileri seviye obfuscation ve evade detection özellikleriyle kendisini gizleyerek antivirus yazılımlarını atlatabiliyor. Aynı zamanda uzaktan, C&C sunucusu yardımıyla kendisini statik veya dinamik olarak değiştirebilme yeteneğine de sahip. Zberp’in faydalandığı zararlı yazılımlardan Zeus’un kaynak kodu yıllar önce bir web sitesinde yayınlanmıştı. Zberp, Zeus’un evade detection, konfigürasyon dosyalarını gönderirken stegonography’den faydalanma gibi özelliklerini alırken sisteme yerleşme tekniklerini ise Carberp’ten almış gözüküyor.

İşin korkutucu yanlarından biri ise Zberp zararlı yazılımı günler önce keşfedildiğinde, bilinen neredeyse hiçbir antivirus yazılımı bu zararlıyı tespit edemiyordu.