Yazılar

FBI hackerları yakalamak için milyonlarca dolar ödül dağıtıyor

fbi-hackerlari-yakalamak-icin-milyonlarca-dolar-odul-dagitiyorFBI ünlü çok arananlar listesini güncelledi. Ödül olarak dağıtılacak toplam rakam 4.3 milyon dolara ulaştı.

Siber suçlar hem kamu hem de özel sektör için ciddi bir tehdit olmaya devam ettikçe güvenlik güçleri daha radikal çözümler peşinde koşmaya devam ediyor. FBI tehlikeli siber suçlulardan oluşan çok arananlar listesi ile yüzlerce milyon dolar zarar veren suçluları yakalamayı umuyor.

Listedeki siber suçluların yakalanmasına yardım edecek, bilgi verecek kişilere toplamda 4.3 milyon dolar ödül veriliyor. Listede toplamda 15 kişi bulunuyor ve bunların tamamı erkek. Listede bulunup haklarında verilen bilgi karşılığı ödül sunulmayan 5 kişi bulunuyor. Bu 5 kişi Çin’de bulunuyor ve “People’s Liberation Army” üyesi. Yani Çin devleti için çalışan bir hacker ordusuna üyeler.

FBI’ın en çok arananlar listesindeki 5 kişiye göz atalım;

1. Evgeniy Mikhailovich Bogachev – 3 milyon dolar

Bogachev bugüne kadar çok sayıda türevi de çıkan, geniş kitlelerce kullanılan ve milyonlarca kullanıcıya zarar veren Zeus internet bankacılığı trojanını yazan kişi. Bu zararlı yazılım banka hesaplarından para sızdırma, şifre ve diğer kişisel bilgileri ele geçirmeye yarıyor. FBI için en önemli hedef halinde.

2. Nicolae Popescu – 1 milyon dolar

Popescu otomobil satışı yapılan sitelerde düzenlediği sahte açık arttırmalarla tanınıyor. Bu şekilde düzenlediği sahte satışlarla yaklaşık 3 milyon dolar kazandı. 2012 yılında çetesinden altı kişi tutuklansa da kendisi halen aranıyor. Romanya’da olduğu tahmin ediliyor.

3. Alexsey Belan – 100.000 dolar

Belan 2012, 2013 yıllarında Nevada ve California’da faaliyet gösteren iki e-ticaret sitesini hackleyerek tüm verilerini sızdırmıştı. Bu sızdırdığı verileri ise başka siber suçlulara sattı.

4. Peteris Sahurovs – 50.000 dolar

Sahurovs’un yöntemi reklam bannerları aracılığı ile sahte bir otel zincirinin reklamını yapmaktı. Tıklanarak web sitesine gidildiğinde ise ziyaretçilere zararlı yazılım bulaştırıyor ve 50 dolarlık bir fidye istiyordu. İstenen rakamın az olması kurbanları parayı ödeyerek kurtulmaya yöneltiyordu. Bu şekilde yaklaşık 2 milyon dolar kazandı.

5. Shaileshkumar Jain – 50.000 dolar

Jain kurbanlar web sitelerini ziyaret ettiğinde ufak pencereler açarak sistemlerine zararlı yazılım bulaştığı mesajını gösteriyordu. Bu şekilde aslında hiçbir fonksiyonu olmayan sahte yazılımların satışını gerçekleştiriyordu. 2006-2008 yılları arasında bu şekilde yaklaşık 100 milyon dolar kazandı.

Zeus’un babası Kronos kendini gösterdi

zeus-babasi-kronos-kendini-gosterdiZeus, Gozi, Citadel gibi internet bankacılığı ve finans sektörü odaklı zararlı yazılımların domine ettiği pazara yeni olduğu kadar iddialı bir oyucu daha katıldı. Bu pazardan pay kapmaya çalışanların piyasaya sürdüğü yeni Kronos zararlı yazılımı Rus siber mafya tarafından 7000 dolar fiyatla satışa sunuldu.

Bir Rus sitesinde satışa sunulan yeni zararlı yazılımın teknik kabiliyetleri günümüz standartlarını karşılıyor;

– Genel şifre, hesap bilgisi çalma özellikleri. Form yakalama, Internet Explorer, Firefox, Chrome gibi browserları destekleyen HTML injection yeteneği.

– Diğer Trojanlardan korunmak için 32 bit ve 64 bit user-mod rootkit.

– Antivirus atlatma özelliği.

– C&C komuta kontrol sunucusuyla şifreli haberleşme.

– Sandbox atlatma özelliği.

Diğer iddialı finans odaklı zararlı yazılımlarda olduğu gibi bu projede de amaçlardan biri zararlıyı inceleyecek kişilerin işini zorlaştırmak. Diğer yandan örneğin Kronos’un HTML injection mekanizması Zeus ile birebir uyumlu yapılmış durumda. Burada amaçlanan Zeus trojan kullanıcılarının Kronos’a geçişini sağlamak. Enteresan bir tesadüf ise Yunan mitolojisinde Kronos, Zeus’un babası olarak geçiyor.

İşin finansal tarafında ise Kronos zararlı yazılımı yaklaşık 7000 dolardan alıcı buluyor. Kronos’u satanlar bir haftalık deneme süresi için test sunucusunu 1000 dolar karşılığında hizmete açabiliyorlar. Ödeme için ise Perfect Money, Bitcoin, WMZ, BTC-E.com kabul ediliyor. Kronos sürekli geliştirilecek ve duruma bakılırsa uzun yaşam süresine sahip olacak bir trojan. Bu yüzden geliştiricileri yeni yamaların ücretsiz sağlanacağını ve sürekli yeni modüller ekleneceğini özellikle belirtiyorlar.

Zeus alternatifi bankacılık trojanı Pandemiya iddialı geldi

Bir süredir hybrid bankacılık zararlı yazılımlarının yükselişe geçtiği malum. Fakat yine de Zeus’a güçlü bir alternatif bekleyişi hakimdir. Bu uzun sürmedi ve Zeus’a alternatif olabilecek güçlü bir zararlı yazılım olan Pandemiya ortaya çıktı.

Pandemiye trojanının en temel paketi 1500 dolar gibi bir rakama satılıyor. Eğer ek modüller alırsanız bu rakam 2000 doları bulabiliyor. Zararlı yazılım bir bankacılık trojanında olması gereken her türlü gelişmiş özelliğe sahip. Bunlar arasında dosya yakalama, antivirus atlatma, veri çalma, ekran görüntüsü yakalama, C&C merkeziyle şifreli iletişim gibi özellikler var. Pandemiya zararlısı modüler şekilde geliştirilmiş adeta iddialı bir yazılım projesi gibi. Eklenti sistemi sayesinde istenen özellikler ana yazılıma kazandırılabiliyor.

Bu arada özellikle belirtmek gereken konu Pandemiya’nın sıfırdan yazılan bir trojan olduğu. Yani Zeus, Citadel, Carberp vb. diğer bankacılık zararlı yazılımlarıyla ortak bir kod paylaşmıyor. Pandemiya kodlanırken bir yıl içerisinde 25.000 C kodu yazılmış. Bu da ciddi bir efor anlamına geliyor. Developer veya developerların ana hedefi ise zararlının tespit edilmesini olabildiğince güçleştirmek. Özellikle son olarak yürütülen uluslararası Gameover/Zeus operasyonundan da ders alan developer alıntı kod kullanmamak ve zararlının analiz sürecini uzatarak kodu korumak için büyük bir çaba göstermiş.

Pandemiya’nın ek ücretle sunulan eklentileri arasında ise reverse proxy, FTP stealer, PE infector gibi modüller bulunuyor. Bunun dışında gizli RDP, Facebook spreader gibi henüz test aşamasında olan eklentiler de mevcut.

Bakalım ileriki zamanlarda Pandemiye Türkiye ve bulunduğu bölgede ne derece yayılacak. Son aylarda MITB (Man in the Browser) saldırılarının, bankacılık şifresi ileten cep telefonu zararlılarının kol gezdiği ülkemizdeki siber suçlular bunu ne zaman değerlendirecek.

zeus-alternatifi-bankacilik-trojani-pandemiya-iddiali-geldi

Internet bankacılığı zararlısı Zeus ve Carberp güç birleştirdi

internet-bankaciligi-trojani-zeus-ve-carberp-guc-birlestirdiYeni bir internet bankacılığı trojanı dünya çapında 450’nin üzerinde finansal kurumu tehdit etmeye başladı. Bu yeni internet bankacılığı trojanı Zeus ve Carberp zararlı yazılım ailesinin özelliklerini birleştirebilmiş olmasıyla öne çıkıyor.

Yeni zararlı yazılım Zberp sistemlerden hedeflenmiş verileri sızdırıyor, ekran görüntüleri alarak bunları iletiyor, SSL sertifikalarına müdahale ederek online formlara girilen verileri yakalıyor, FTP ve POP3 şifrelerini ele geçiriyor, MITB tekniğiyle kullanıcı ile browser arasına girerek oturumları değiştirebiliyor. Yeni zararlının bunun dışında da özellikleri bulunuyor ve yapı olarak oldukça komplike bir internet bankacılığı odaklı zararlı yazılım.

Zberp ileri seviye obfuscation ve evade detection özellikleriyle kendisini gizleyerek antivirus yazılımlarını atlatabiliyor. Aynı zamanda uzaktan, C&C sunucusu yardımıyla kendisini statik veya dinamik olarak değiştirebilme yeteneğine de sahip. Zberp’in faydalandığı zararlı yazılımlardan Zeus’un kaynak kodu yıllar önce bir web sitesinde yayınlanmıştı. Zberp, Zeus’un evade detection, konfigürasyon dosyalarını gönderirken stegonography’den faydalanma gibi özelliklerini alırken sisteme yerleşme tekniklerini ise Carberp’ten almış gözüküyor.

İşin korkutucu yanlarından biri ise Zberp zararlı yazılımı günler önce keşfedildiğinde, bilinen neredeyse hiçbir antivirus yazılımı bu zararlıyı tespit edemiyordu.

Internet bankacılığında ATSEngine tehditi

ATSEngine, dünyanın en ünlü internet bankacılığı zararlı yazılımlarından Zeus ile birlikte çalışıyor. Dinamik şekilde web inject yapabilen yazılım tüm botlara yeni configleri göndermeyi kolay hale getirmiş durumda.

Web inject yöntemi ise kullanıcı internet bankacılığı hesabına giriş yaptığında aktive edilen, man-in-browser tekniğiyle kullanıcı ile banka arasındaki iletişimi manipüle ederek para transferi imkanı sağlayan bir yöntem. ATSEngine’ın Zeus’un yaptığı standart web injectlerden farkı statik bir web sayfasını değiştirmekten çok daha fazlasını yapabilmesi. Örnek olarak kullanıcı tarafından girilebilecek özelleştirilmiş web injectler, pop-up pencereleri, tokenları ele geçirmek için gönderilebilecek istekler sayılabilir.

Yazılım bir de Jabber üzerinden uyarı gönderme yeteneğine sahip. Bu özellik ise suçluya kurbanın bankacılık hesabına girdiğinde anında haber verilmesini sağlıyor. Zeus’un VNC özelliği sayesinde ise suçlu kurbana bağlanıp transferi gerçekleştiriyor.

Hesaplar;

internet-bankaciliginda-atsengine-tehditi-1

Raporlar;

internet-bankaciliginda-atsengine-tehditi-2

Jabber;

internet-bankaciliginda-atsengine-tehditi-3

Özelleştirilmiş kurallar;

internet-bankaciliginda-atsengine-tehditi-4

“Man in the browser” tehditi

man-in-the-browser-internet-bankaciligiSiber suçların hızla arttığı günümüzde bankacılık sektörü, adına Man in the browser denilen saldırı çeşidiyle daha da risk altında. Internet bankacılığı operasyonlarının zayıf karnı platformların sosyal medya, mobil gibi riskli alanlara açılıyor olması. Phishing, sosyal mühendislik gibi tehditler bu yüzden halen revaçta olmayı sürdürüyor. Diğer yandan keylogger içeren zararlı yazılımlar, ekran görüntülerini yakalayıp aktaran zararlı yazılım modülleri de mevcut. Fakat bu etkin zararlı yazılım bulaştırma yolu artık Man in the browser saldırıları için kullanılıyor.

Man in the browser saldırı tekniği diğer tekniklerle bir yönde ayrışıyor. Burada kurbanın şifresini almak yerine kullandığı browser üzerine zararlı yazılım yerleştirilerek saldırı gerçekleştiriliyor. Man in the browser tekniği ile yazılan zararlı yazılım bir browser eklentisi tarzında Active X, Browser eklentisi, Add-on, Plugin, API aracı gibi yüklenebiliyor.

Bir nevi proxy gibi çalışan zararlı yazılım içeren browser eklentisi kullanıcının yaptığı transferleri, değiştiriyor veya hiç gerçekleştirmediği transferleri gerçekleştiriyor. İki aşamalı şifrelerin de korumadığı bu saldırı biçiminde zararlı yazılım para transfer etmek veya diğer işlemler için kullanıcının internet bankacılığına giriş yapmasını veya bir para transfer işlemi yapmasını bekliyor.

TerraMedusa Blog’un önceki yazılarda da bir çoğunu incelediğimiz Man in the browser yeteneklerine sahip internet bankacılığı zararlı yazılımları şu an için Zeus, Carberp, Sinowal ve Clampi olarak sıralanabilir.

KINS herkes için tehdit

kins-internet-bankaciligi-trojani2013’ün başlarında keşfedilen yeni internet bankacılığı trojanı KINS, yeni nesil bankacılık trojanlarının temsilcisi olarak görülüyor. SpyEye, Zeus ve artık geliştirilmeyen Citadel trojanlarından sonra artık KINS ile ilgili gelişmelere daha çok rastlayacağız.

KINS tamamıyla yeni bir proje. Yani Zeus veya SpyEye’dan türetilmiş bir versiyon değil. Ama bu demek değil ki benzeri işleri yapan diğer trojanlardan ek özellikler almasın. KINS, Zeus’un web injectionlarını içeriyor ve SpyEye’ın Anti-Report eklentisi ile uyumlu çalışıyor.

KINS’in en ilginç özelliği ise Rus kullanıcılara bulaşmıyor olması. Sistemde Rus ülkelerinden birine ait bölgesel ayar gördüğü zaman trojan kendini siliyor. Trojan modüler bir yapıya sahip. En temel paket bootkit, dropper, DLL dosyaları ve Zeus uyumlu web injectleri içeriyor. Trojan’ın temel paketi 5.000$ gibi bir fiyata satılıyor. Her ek plugin ise 2.000$ gibi bir fiyata alıcı buluyor.

Bootkit modülü gerçekten ilginç. KINS benzeri Zeus, SpyEye gibi bankacılık trojanlarında olmayan bu özellik sayesinde trojan kendini VBR (Volume Boot Record) yazarak sistemdeki varlığını daha uzun süre saklayabiliyor. Bootkit modülünün değerini anlamak için Carberp trojanına bakmak gerek. Carberp için bootkit modülü siber suçlular dünyasında 40.000$’a rahatlıkla alıcı buluyor.

Bankalar için yeni trojanlar

internet_bankaciligi_trojan_hack_zararli_kodSanal dünyada suçlular boş durmuyor. Online internet bankacılığı hedefli, kişiselleştirilmiş trojan ve zararlı kodlu yazılımlar artık modüllere bölünerek satılmaya başlandı. Geçtiğimiz günlerde bir satıcı Zeus/SpyEye ile birlikte çalışan bazı online bankacılık modüllerini ayrı ayrı sattığını duyurdu.

Fiyatlandırma toptan satışlarda indirim yapılmasına olanak tanıyor. Internet sitelerine yerleştirilmiş zararlı kodlarla ilgili ise lokasyon tabanlı bir fiyatlandırma söz konusu. Rakamlar hangi ülkeden ziyaretçilere saldırmak istediğinize göre değişiyor. Hazır bazı webinject scriptleri olduğu gibi, sipariş vererek özel bir tane yazdırmakta mümkün. Fiyatta buna göre değişiyor.

Zararlı kod hizmeti veren satıcılar SpyEye, Zeus, Ice IX gibi istenilen her platform için webinject scripti hazırlayabiliyorlar.

Aşağıda satılan bazı modüller ile ilgili bilgiler var.

Bakiye öğrenici: Kurbanın hesabında ne kadar para olduğunu öğrenerek bunu komuta kontrol sistemi aracılığı ile dolandırıcıya iletiyor.
Fiyat: 50-100$

Bakiye değiştirici: Online bankacılık sisteminde kurbanın hesabında gözüken parayı değiştirerek aslında para transfer edilmemiş gibi gösteriyor. Elbette bu değişiklik sadece kullanıcıya öyle gözüküyor. Bu modül sayesinde kurbanın ATM’ye gitmeden, telefon bankacılığı kullanmadan veya hesap ekstresi gelmeden dolandırıcılığı öğrenmesi mümkün olmuyor.spyeye_internet_bankaciligi_trojan_Zararli_kod
Fiyat: 200-300$

Şifre yakalayıcı: SMS ile kullanıcıya gönderilen tek kullanımlık şifreleri yakalayarak dolandırıcıya iletiyor.
Fiyat: 150-200$

Ek şifreleme teknikleri: Bazı online internet bankacılığı uygulamalarında kullanılan ek şifreleri atlatmak için.
Fiyat: 100-200$

Uyarılar: Bu modül zararlı kodlar bir kurbanın bilgisayarına bulaştığında kontrol paneline, Jabber veya MSN hesabına anında uyarı gönderiyor.
Fiyat: 100-200$

ATS: Bu otomasyon modülü sayesinde tüm işlemler insan müdahalesi olmadan gerçekleşiyor. Sistem kullanıcıya zararlı kod bulaştırıyor, tek kullanımlık şifreyi öğreniyor, parayı transfer ediyor, kurbanın online internet bankacılığı hesabındaki bakiyesini gizliyor.
Fiyat: 1500-2000$

Şu anda bu modüllerin İtalyan, İspanyol ve Alman bankaları için uyarlanmış halleri satışta. Satıcılar istek geldiği takdirde her ülkeye ait bankalara uyarlanabileceğini belirtiyor. Türk dolandırıcıların bunları farketmesi uzun sürmeyecek gibi gözüküyor.

Bankalar için cep telefonuna gelen SMS riskli

internet_bankaciligi_trojani_zeus_zitmoİyi bir antivirüs programı arayan Android kullanıcıları yeni bir tehditle karşı karşıya. Kendini “Android Security Suit Premium” diye adlandıran uygulama aslında Zitmo adında bir internet bankacılığı trojanını içeriyor.

Zitmo (Zeus-in-the-mobile) tüm dünyada özellikle internet bankacılığı ve finans merkezli olarak yaygın kullanılan Zeus trojanının mobil versiyonu diyebiliriz. Güvenlik yazılımı kılığındaki Zitmo bulaştığı Android telefonlarda internet bankacılığı SMS mesajlarını ele geçirerek bunları komuta kontrol sistemleri aracılığı ile dolandırıcılara iletiyor.

Zeus internet bankacılığı trojanı, Zitmo gibi pek çok farklı zararlı yazılım varyasyonuna ev sahipliği yapıyor. Türkiye’de de çok sayıda bankanın sistemlerine uygun şekilde tasarlanmış Zeus trojan kiti satışlarının el altında yapıldığı ve kullanıldığı biliniyor. Bu yeni mobil Zeus tehditini de dolandırıcılar Türkiye’ye uyarlamakta geç kalmayacaklardır.