100’den Fazla İtalyan Bankasına Siber Saldırı Düzenlendi

Güvenlik uzmanları, Ursnif adı verilen trojanı kullanan siber korsanların hesap bilgileri ve finansal verileri çalma hedefiyle 100’den fazla bankayı hedef aldığını kaydetti. Yapılan analizlerde en az 100 bankanın saldırıya uğradığı ve eylemlerden birinde tek bir ödeme işlemcisinden 1.700 hesap bilgisi çalındığı anlaşıldı. Trojan aracılığıyla ele geçirilen bilgiler arasında kullanıcı adları, şifreler, kredi kartı numaraları, banka hesapları ve ödeme bilgileri bulunduğu belirtildi.

İlk kez 2007’de keşfedilen Ursnif, basit bir bankacılık trojanı olarak kullanılıyordu. Kodları GitHub üzerinden paylaşıldıktan sonra açık kaynaklı hale gelen ve kesintisiz geliştirilme sürecine giren trojan, Gozi bankacılık kötü amaçlı yazılımının bir parçası olarak da belirmişti.

Genelde oltalama saldırıları ile yayılan Ursnif, finansal ve hesap bilgileri çalmak için kullanılıyor. Güvenlik uzmanları, geçtiğimiz yıl Ursnif kullanılarak ABD’deki bir bankaya yapılan saldırıyı tespit etmişti. Bir çalışana gönderilen kötü amaçlı eklenti içeren e-posta açıldıktan sonra kötü amaçlı dosya .cab uzantılı uygulanabilir bir dosya indirmişti.

Dosyanın aktif hale geldikten sonra sadece bir gün Rusya’da kayıt edilen kumanda ve kontrol (C2) sunucularına bağlantı talebi gönderdiği anlaşıldı. Saldırıdan bir gün önce yapılan bu hamle sayesinde sunucu IP adresleri kara listeye alınmamıştı. Saldırının, Zoom veya Webex yazılımları gibi kendisini saklamak için User Agent kullandığı anlaşıldı. Yazılım ajanı olarak da adlandırılan USerAgent, kullanıcı adına bilgisayarda belli işlemlerin gerçekleştirilmesini sağlıyor.

Geçen yıla ait analizlerde, trojanın ABD’nin yanı sıra İtalya’yı da hedef aldığı anlaşılmıştı.

Güvenlik uzmanlarının en son saldırılar hakkında topladıkları bilgileri hedef alınan bankalarla ve İtalya’daki finsansal hizmetler veri değişimi servislerinden CERTFin ile paylaştığı belirtildi.