Tehlikeli trojan Carberp yenileniyor

carberp-internet-bankaciligi-zararli-yazilimiBilinen en gelişmiş internet bankacılığı zararlı yazılımlarından olan Carberp ile ilgili sıcak gelişmeler oluyor. Aralık 2012’de yayınlanan son versiyonu yeni bir bootkit modülüne sahip olan zararlı yazılım siber mafya tarafından 10.000 dolar ile 40.000 dolar arasında rakamlarla “aylık” kiralama yöntemiyle satılıyordu.

Carberp ilk olarak 3 yıl önce tespit edilmişti. O zamandan beridir diğer ünlü internet bankacılığı zararlı yazılımları Zeus ve SpyEye için tam bir alternatif oluşturuyor. Boot sektörüne bulaşmaya izin veren modülü sayesinde siber suçlular epeyi bir süre antivirus yazılımlarını atlatarak kurbanlarının sistemini yönetebildiler.

İlk kez Haziran 2012’de zararlı yazılım ABD İçişleri Bakanlığının izni ve sağladığı imkanlar ile yakalanan 6 kişilik bir dolandırıcılık şebekesinin sistemlerinde incelenebildi. Bu olaydan gizemi çözülen Carberp’i programlayanlar yeni bir yöntem tercih etmeye başladı. Artık yazılımı sınırsız yönetim ve dağıtım imkanlarıyla satmak yerine kiralama şeklinde sunmaya başladılar. Bunun yarattığı en büyük tehdit çok az teknik bilgiye sahip kişilerin bile zararlı kod içeren bir dosya ile rahatlıkla insanların paralarını internetten çalabilmesine olanak tanımasıydı.

Satıcılar sıkı çalışarak aralarında WellsFargo, Citi, JP Morgan Chase, Bank of America, TD Bank ve TerraMedusa Siber İstihbarat Altyapısının tespit ettiği “2 Türk bankasını” içeren web-injection modüllerini piyasaya sundular.

Son gelişmeyle ise işler iyice karıştı. Bir süredir siber suçlular 5.000 dolar gibi bir rakama Carberp internet bankacılığı zararlı yazılımının kaynak kodunu satmaya başladılar. Satılan kaynak kodu Carberp’in full kaynak kodu. Kod içerisinde yazanın notlarını bile görmek mümkün. Paket içerisinde kaynak kodu, web-injection modülleri, solucan modülü Gavazar, bootkit modülü, köle sistemleri yönetmek için admin paneli, yaması yayınlanmış Windows açıkları için exploitler bulunuyor.

Aslında Carberp’in kaynak kodunun böyle düşük bir fiyata satılması bir sondan çok başlangıcı temsil ediyor. Son 2 yılda Carberp’in 10 milyondan fazla sisteme kurulduğu düşünülüyor. Bu sayının içerisine zararlı bulaşan sistemler, tespit edilebilen varyantlar, banka sistemleri dahil. Daha önceki zararlı yazılım frameworklerinde olduğu gibi eğer çok güçlü bir projenin kaynak kodları sızıyorsa, yolda yayınlanmayı bekleyen çok daha güçlü bir zararlı yazılım geliyor demektir.