İlk kez 2007'de tespit edilen ve "en hızlı yayılan" ünvanını elinde tutan Zeus isimli bankacılık trojanının yeni bir versiyonu keşfedildi. Ancak bu versiyon sadece banka hesaplarını değil, daha fazlasını çalıyor. Bankacılık virüsü Terdot gibi davranan trojan 2016 ortalarından beri ortalarda dolaşıyor ve "ortadaki adam (MitM)" tekniği ile girilen web sayfaları ve şifreleri dahil her türlü bilgiyi çalıyor.
Aşağıda örnek çalışma hiyerarşisi bulunuyor.
Trojanın çoğunlukla SunDown Exploit Kit ile sızılmış web siteleri aracılığıyla dağıtılıyor içinde sahte PDF ikonu bulunan bir mail ile de bulaşabiliyor.
Bu ikonu tıkladığınızda, bir Javascript kod yüklüyor ve çalıştırıyor. Bunun tespitini engellemek için de bir dizi karmaşık işlem yapıyor. Terdot'un yeni çeşidini parça parça yüklüyor.
Diğer ilginç bir başka konuda; kendi sertifika otoritesini oluşturuyor ve kurbanın ziyaret ettiği her bir domain için sertifika üretiyor. Böylece de TLS ((Transport Layer Security) engellemesini geçiyor.
Virüs bulaştıktan sonra, Trojan kendisini tarayıcı işlemleri içine enjekte ediyor ve bu yolla bilgisayarı kendi web proxy'sine yönlendiriyor. Böylece trafiği okumaya başlıyor. Bilgisayardan giden talepleri incelerken, geri dönen cevapları okumak için Javascript olan bir casus kodu yerleştiriyor. Dolayısıyla kimlik bilgilerini çalıyor.
Bu işlemleri tamamladıktan sonra, mesela bankaya ya da sosyal medya hesabına gönderilen veriler trojan tarafından durdurulabiliyor ve gerçek zamanlı olarak değiştirilebiliyor. Bu yolla diğer sosyalmedya hesaplarına sahte linklerin de gönderilebildiği yani kendini yayabiliyor.
Daha fazla bilgi için:
https://www.2-spyware.com/remove-terdot-virus.html
Kayıtlar
0 comments :
Yorum Gönder