Bankacılıkta yeni bir trojan keşfedildi
Güvenlik araştırmacıları, bankaların, ödeme kartı sağlayıcılarının, mobil servis sağlayıcılarını, bordro geliştiricilerini, web posta ve e-ticaret sitelerinin müşterilerini hedefleyen yeni bir trojan keşfetti. IcedID olarak bilinen kötü amaçlı yazılım, kullanıcıların giriş kimlik bilgilerini elde etmek ve ödeme yetkilendirme ayrıntılarını tespit ederek, kötü amaçlı web sayfalarına girmelerini sağlamak adına, web tarayıcı manipülasyon teknikleri kullanır. Hatta, bir çok yazımızda bu konuya değinmiştik. Emotet olarak da bilinen kötü amaçlı yazılım (malware), işleyeceği siber suçlara ortak bulmak için botnet altyapısı oluşturur. Ardından bilgisayarları ele geçiren Emotet, son derece tehlikeli olan yeni bankacılık trojanı tarafından enfekte olmuş sistemleri kolaylıkla etkiler.
İki İngiliz bankasının yanı sıra ABD ve Kanada’daki bazı finansal kurumların müşterileri IcedID’den etkilenmiş durumdadır. Müşteri mağdurlarının sayısı ve mali kayıpların ölçeği şu anda bilinmiyor.
Bankacılık sektörünü hedef alan bir takım trojanları gördük ancak IcedID’nin Eylül ayından beri gelen vahşi saldırı yöntemleri verdiği zararlar ve kullandığı yöntemler yüzünden henüz “böylesi görülmedi” dememize sebep oldu. Bu yetenekler, Dridex ve Zeus gibi uzun zamandır var olan bankacılık trojanlarına paralel olarak geliştirildiği için oldukça ürkütücü bir hal almış durumda. National Crime Agency, Dridex’in İngiltere ekonomisine yaklaşık olarak 20 milyon £ zarara neden olduğunu tahmin ediyor. IcedID yetenekleri bildirildiği kadar iyi ve önceki bankacılık virüslerine paralel ise, o zaman İngiltere’nin güncel mali kayıpları, çok daha fazla olabilir. IcedID, yeteneklerini önümüzdeki haftalarda ve aylar boyunca geliştirilmeye devam edecek ve böylece enfeksiyon riski ile potansiyel kayıp yüzdesini artıracaktır.
Sowbug, Güney Doğu Asya ve Güney Amerika hükümetlerini hedeflemektedir
Siber güvenlik şirketi Symantec, geçtiğimiz günlerde Güney Doğu Asya ve Güney Amerika’daki hükümetleri hedef alan ” Sowbug ” adlı yeni bir siber casusluk grubu tespit etti . Sowbug, bu yılın başlarında Forcepoint Security Labs tarafından keşfedilen “Felismus” adı verilen sofistike bir zararlı yazılım (malware) parçasını kullanıyor.
Felismus’un bir hedefin ağına nasıl sızdığı şu an bilinmiyor. Ancak konuşlandırıldığında, kendisini bir Adobe veya Word dosyası gibi gizleyerek algılanmayı engelleyerek kalıcı olarak varlığını sürdürebilir. Kötü amaçlı yazılım operatörleri, muhtemelen meşru kullanıcılardan şüphelenmeyi önlemek için, kurbanın normal çalışma saatlerinin dışında çalışıyor gibi görünürler.
Sovbug, dış politika, diplomatik ilişkiler ve özellikle Asya-Pasifik ilişkileri ile ilgili bilgileri çoğunlukla çalarak Felismus isimli zararlı yazılımı kullanmaktadır. Ağdaki diğer bilgisayarlara bulaştırmak amacıyla uzak paylaşımlarda dosyaları ararken de görülebiliyor.
Sowbug, muhtemelen (en azından) 2015’in başından beri faaliyet gösteriyor. Ancak gizli yetenekleri, çok düşük profile sahip olmasını ve algılanmamasını sağladı.
Sowburg’un kimliği ve asıl hedefi şu an bilinmiyor. Hükümet hedefleri, Felismus’un karmaşıklığı ve başarısı nedeniyle, bunun bir devlet destekli grup olabileceği yönünde iddialar da var. Kötü amaçlı kodlardan bazıları, operatörlerin ilk dilinin İngilizce olmayabileceğini göstermek için ortaya çıktı.
Sovbug, çok özel bir kurbanı hedef alıyor gibi görünse de, modüler yetenekleri özellikle endişe vericidir. Örgütler ve halk, Felismus kötü amaçlı yazılımının bulaşmasını önlemek için virüsten koruma yazılımlarını güncel tuttuğundan emin olmalıdır.
