İşle ilgili gibi görünen bankacılık Truva atları

Spam gönderenler, önemli gibi görünen belgelerde kötü amaçlı makroları kullanarak IcedID ve Qbot adındaki bankacılık kötü amaçlı yazılımlarını dağıtıyor.

Gün içinde yüzlerce e-posta alıp gönderiyorsanız, e-posta eklerinin otomatik olarak hızlıca okunması ve indirilmesi oldukça çekici gelebilir. Elbette siber suçlular da bunu avantaja çeviriyor ve içlerinde kimlik avı bağlantılarından kötü amaçlı yazılımlara kadar hemen hemen her şeyin olabileceği önemli gibi görünen belgeler gönderiyorlar. Uzmanlarımız kısa süre önce IcedID ve Qbot bankacılık Truva Atlarını dağıtan çok benzer iki spam kampanyası keşfettiler.

Kötü amaçlı belgeler içeren spam mesajlar

Her iki e-posta da bir iş yazışması gibi görünüyordu. İlk kampanyada saldırganlar, sahte bir nedenden ötürü tazminat talebinde bulunuyor veya bir işlemin iptaline ilişkin bir şeyler yazıyorlardı. E-postanın ekinde, dosya isminde CompensationClaim ve devamında birkaç sayının yer aldığı, sıkıştırılmış bir Excel dosyası bulunuyordu. İkinci kampanyada ise konu ödemeler ve sözleşmelerle ilgiliydi ve belgeyi içeren arşiv dosyasının tutulduğu hacklenmiş internet sitesine bir bağlantı yer alıyordu.

Her iki durumda da saldırganların amacı, alıcıyı kötü amaçlı Excel dosyasını açmaya ve içindeki makroyu çalıştırmaya ikna etmek, böylece kurbanın kullandığı cihaza IcedID veya (daha az yaygın olan) Qbot’u indirmekti.

IcedID ve Qbot

IcedID’in araştırmacıların dikkatini ilk kez çektiği 2017’den, Qbot’un ise 2008’den beri kullanılıyor olması nedeniyle her iki bankacılık truva atı da uzun yıllardır bilinen bir durum. Uzun yıllardır kullanılmasının yanında, saldırganlar da bu süre boyunca sürekli olarak tekniklerini geliştirmeye devam ettiler. Örneğin bir seferinde, tespit edilmesi oldukça zor olan steganografi adındaki bir yöntem kullanarak IcedID’nin ana bileşenini bir PNG görüntüsüne gizlemeyi başardılar.

Bugün her iki kötü amaçlı yazılıma da gölge pazardan (shadow market) ulaşmak mümkün; yazılımların yaratıcılarının yanısıra, yazılımı satın alan çok sayıda kişi de bu truva atlarını dağıtıyor. Kötü amaçlı yazılımın ana görevi, tercihen şirket hesapları (dolayısıyla ticari e-postaların kullanıldığı) olmak üzere banka hesaplarına ait oturum açma kimlik bilgilerini ve banka kartı bilgilerini ve çalmak. Truva atları amaçlarına ulaşmak için çok çeşitli yöntemlerden yararlanıyor. Örneğin:

  • Kullanıcı tarafından girilen verileri ele geçirmek için bir web sayfasına kötü amaçlı bir komut dosyası yerleştirebilirler,
  • Çevrimiçi bankacılık kullanıcılarını sahte bir giriş sayfasına yönlendirebilirler,
  • Tarayıcıda kayıtlı verileri çalabilirler.

Ayrıca Qbot, parolaları ele geçirmek için tuş vuruşlarını kaydedebilme özelliğine de sahip.

Ne yazık ki kurbanları bekleyen tek sorun bankacılık verilerinin çalınması da değil. Örneğin IcedID, fidye yazılımı dahil olmak üzere diğer kötü amaçlı yazılımları da virüslü cihazlara indirebiliyor. Qbot’un sahip olduğu diğer özellikler arasında ise daha fazla spam kampanyasında kullanmak amacıyla e-posta dizilerini çalmak ve yazılımı kullanan kişilere kurbanların bilgisayarlarına uzaktan erişebilmelerini sağlamak yer alıyor. Özellikle iş cihazlarında bu oldukça ciddi sonuçlara yol açabilir.

Bankacılık Truva Atlarından nasıl korunursunuz

Siber suçlular ne kadar yetenekli olurlarsa olsun, güvenliğinizi sağlamak için Amerika’yı yeniden keşfetmeye gerek yok. Söz konusu spam kampanyalarının her ikisinin de başarısı, e-postaların gönderildiği kişilerin riskli eylemlerde bulunmasına bağlıdır — kötü amaçlı dosyayı açmaz ve makronun yürütülmesine izin vermezlerse, bu yöntemi kullanmak hiçbir işe yaramaz. Böyle bir olayın kurbanı olma ihtimalinizi azaltmak için

  • Gelen e-postadaki alan adı da dahil olmak üzere, gönderenin kimliğini kontrol edin. Örneğin, bir yüklenici veya kurumsal müşteri olduğunu iddia etmesine rağmen Gmail adresi kullanan biri şüpheli olabilir. Ve eğer gönderenin kim olduğu konusunda bir fikriniz yoksa, bunu öğrenmek için iş arkadaşlarınızdan yardım alın.
  • Varsayılan olarak makroların yürütülmesini engelleyin ve makroları veya diğer içerikleri etkinleştirmenizi gerektiren belgelere şüpheyle yaklaşın. Dosyada makroların çalıştırılması gerektiğinden ve bunun güvenli olduğundan kesin olarak emin olmadığınız sürece asla makroları çalıştırmayın.
  • Güvenilir bir güvenlik çözümü Kişisel bir cihazda çalışıyorsanız veya iş istasyonu koruması konusuna işvereniniz gereken önemi vermiyorsa, cihazınızın korunduğundan emin olun. Ürünlerimiz, hem IcedID hem de Qbot’u tespit edebilmenizi sağlar.

İpuçları