Kısa süre önce Türkiye’deki online ve mobil bankacılık
müşterilerine yönelik artan siber dolandırıcılık çabalarına dikkat çeken
antivirüs yazılım kuruluşu ESET, bu kez Avrupa’daki online banka müşterilerini
hedef alan modüler bir truva atı tespit etti. Siber suçluların ihtiyaca göre
eklenti dahil ettiği bu zararlı; Polonya, İtalya, Almanya, Avusturya ve
Ukrayna’da ortaya çıktı. DanaBot adlı bu truva atı, cihazların kontrolünü ele
geçirerek, finansal bilgilere ulaşmayı hedefliyor.
ESET Araştırmacılarının tespitlerine göre, modüler bir
bankacılık Truva atı olan DanaBot, aslında ilk kez Mayıs 2018'de Avustralyalı
kullanıcıları hedefleyen kötü amaçlı e-posta saldırılarında keşfedildi. Ancak
zararlı yazılım, Eylül 2018 itibarıyla yoğun şekilde Avrupa’daPolonya, İtalya,
Almanya, Avusturya ve Ukrayna'da ortaya çıktı ve böylece faaliyet alanını
genişletti.
DanaBot truva atı, çok aşamalı ve çok bileşenli bir mimariye
sahip. Özelliklerinin çoğu ise eklentiler tarafından uygulanıyor. Keşfedildiği
zamanlarda, zararlı yazılımın aktif gelişim sürecinde olduğu belirtilirken,
uzmanlar bu gelişimin hala devam ettiğine dikkat çekiyor.
Avustralya'da yaygın olarak rapor edilen başlangıç
saldırısından yalnızca iki hafta sonra DanaBot, Polonya’yı hedefleyen bir
saldırı dalgasında tespit edildi. Polonya saldırısının arkasındaki saldırganlar,
kurbanlarını tehlikeye atmak için çeşitli firmalardan gönderilmiş sahte
faturalar içeren e-postaları kullanıyor.Kullanıcılar, eklentilere tıklayarak,
truva atını kendi sistemine bulaştırıyor.
En büyük özelliği modüler olması
Modüler mimarisi göz önüne alındığında DanaBot, sahip olduğu
özelliklerin çoğu için eklentilere ihtiyaç duyuyor. ESET araştırmacılarına göre
zararlı yazılım bu sayede ihtiyaca göre kullanım alanını değiştirebiliyor. ESET
uzmanlarının tespit ettiği eklentiler ise şöyle sıralanıyor:
VNC eklentisi - Kurbanın bilgisayarıyla bağlantı
kurarak onu uzaktan kontrol eder.
Sniffer eklentisi - Genelde internet bankacılığı
sitelerini ziyaret ederken kurbanın tarayıcısına zararlı scriptler enjekte
eder.
Stealer eklentisi - Pek çok farklı uygulamadan parola
bilgilerini toplar. (tarayıcılar, FTP istemcileri, VPN istemcileri, anlık
mesajlaşma ve e-posta programları, poker programları vs.).
TOR eklentisi - Bir TOR proxy yükleyerek .onion web
sitelerine erişim sağlar.
Modüler mimariyle etki alanlarını genişletmeyi hedefliyorlar
ESET Araştırmacılarının bulguları, DanaBot'un hala aktif
olarak kullanılmakta ve geliştirilmekte olduğunu ve Avrupa ülkeleri arasında
yeni hedefler keşfetmeye çalıştığına işaret ediyor. Avrupa ülkelerine odaklanan
son saldırı dalgalarında görülen yeni özellikler, DanaBot'un arkasındaki
saldırganların zararlı yazılımın modüler mimarisini kullanarak etki alanlarını
ve başarı oranlarını artırmaya çalıştıklarını göstermektedir. ESET yazılımları,
tüm DanaBot bileşenlerini ve eklentilerini tespit edip engellemektedir.
