Dark Tequila kod adlı gelişmiş bir siber operasyon, son beş yıldır Meksika başta olmak üzere Latin Amerika’da kullanıcıları hedef alıyor. Banka kimlik bilgilerini, kişisel ve kurumsal verileri çalan yazılım, kurbanın bilgisayarı internete bağlı değilken bile hareket edebiliyor. Kaspersky Lab araştırmacılarına göre zararlı kod, bulaştığı USB cihazları ve hedef odaklı kimlik avı saldırılarıyla yayılıyor ve tespit edilmekten kaçınabiliyor. Dark Tequila’nın ardındaki tehdit grubunun İspanyolca konuşan ve Latin Amerika kökenli kişilerden oluştuğuna inanılıyor.

Dark Tequila zararlı yazılımı ve onu destekleyen altyapı, finansal dolandırıcılık faaliyetlerinde görülmeye alışık olmadığı derecede gelişmiş. Tehdit temel olarak finansal bilgileri çalmaya odaklanıyor. Ancak, bir bilgisayara girdikten sonra popüler websiteleri de dahil diğer sitelere giriş bilgilerini alıyor, iş ve kişisel e-posta adreslerini, alan adı kayıtlarını, dosya depolama hesaplarını ve daha fazlasını da satmak veya gelecekteki faaliyetlerinde kullanmak için topluyor. Zimbra e-posta müşterileri ve Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace gibi web siteleri bunlara örnek verilebilir.

Hedef odaklı çalışıyor

Çok katmanlı bir yapıya sahip olan zararlı yazılım, bulaştığı USB cihazları ve hedef odaklı kimlik avı saldırıları üzerinden kullanıcılara dağıtılıyor. Zararlı yazılım bilgisayara girdikten sonra, talimat almak için kendi komut sunucusuyla bağlantı kuruyor. Yazılımın taşıdığı yük ancak belirli teknik ağ koşulları sağlandığında kurbana ulaşıyor. Zararlı yazılım; kurulu bir güvenlik çözümü, ağ izleme faaliyeti veya sanal elek gibi bir analiz ortamında çalıştığına dair işaret tespit ettiğinde bulaşma sürecini durdurup kendini sistemden siliyor.

Bunların hiçbirinin olmadığı durumda ise zararlı yazılım yerel bulaşma sürecini etkinleştiriyor ve otomatik çalışmak için, çıkarılabilir bir sürücünün içine çalıştırılabilir bir dosya kopyalıyor. Böylece zararlı yazılım, kurbanın ağında ağ bağlantısı olmadan da hareket edebiliyor. Hedef odaklı kimlik avı saldırısı yoluyla yalnızca tek bir makine de etkilense bu durum geçerli oluyor. Zararlı yazılımın bulaştığı bilgisayara bir USB takıldığında, o cihaz da otomatik olarak etkileniyor ve zararlı yazılımı başka bir hedefe bulaştırmaya hazır hale geliyor.

Zararlı parçada, giriş bilgileri ve diğer kişisel verileri toplamak için basılan tuşları kaydetme ve pencere izleme gibi gerekli tüm modüller bulunuyor. Komut sunucusundan talimat gönderildiğinde diğer modüller de çözülüp aktif hale geliyor. Çalınan tüm veriler sunucuya şifreli bir şekilde yükleniyor.

2013 yılından bu yana faaliyette

Dark Tequila en az 2013’ten bu yana Meksika’da ve bu ülkeyle bağlı yerlerde faaliyet gösteriyor. Analizlere göre kodda bulunan İspanyolca kelimeler ve yerel bilgiler, operasyonun arkasındaki tehdit grubunun Latin Amerika’dan olduğunu gösteriyor.

Kaspersky Lab Latin Amerika Global Araştırma ve Analiz Ekibi Lideri Dmitry Bestuzhev, “Dark Tequila ilk bakışta, finansal getiri için kimlik bilgileri toplayan diğer herhangi bir bankacılık Truva Atına benziyor. Ancak daha detaylı analiz yapıldığında, finansal tehditlerde pek sık görmediğimiz düzeyde karmaşık olan bir zararlı yazılım ortaya çıkıyor. Kodun modüler yapısı, gizlenme ve tespit mekanizmaları keşfedilmekten kaçınmasına ve zararlı yükünü yalnızca güvenli olduğunu düşündüğü zaman boşaltmasına yardımcı oluyor. Bu saldırı yıllardır etkin ve yeni örnekler bulmaya devam ediyoruz. Bugüne kadar yalnızca Meksika’daki kullanıcılar hedef alındı fakat yazılımın teknik kapasitesi dünyanın herhangi bir yerine saldırı düzenlemeye uygun.” dedi.

Uzmanlar, kullanıcılara kendilerini hedef odaklı kimlik avı saldırılarına ve USB’ler gibi çıkarılabilir medyalar üzerinden yayılan saldırılara korumaları için şu önlemleri almalarını tavsiye ediyor.

Herkes için geçerli olan önlemler:

• Tüm e-posta eklerini, açmadan önce anti-virüs güvenliği ile kontrol edin.
• USB cihazların otomatik çalışma özelliğini devre dışı bırakın.
• USB sürücüleri açmadan önce anti-virüs güvenliği ile kontrol edin.
• Bilmediğiniz cihazları ve USB bellekleri bilgisayarınıza takmayın.
• Finansal tehditlere karşı sağlam ek önlemlere sahip bir güvenlik çözümü kullanın.

Şirketlere ayrıca şunlar öneriliyor:

• İş için gerekli değilse kullanıcı cihazlarındaki USB girişlerini kapatın.
• USB cihaz kullanımını yönetin. Hangi USB cihazlarının, kimler tarafından, ne için kullanılacağını belirleyin.
• Özellikle ev ve iş bilgisayarı arasında taşınan cihazlar varsa USB kullanımı hakkında çalışanlarınıza eğitim verin.
• USB’leri etrafta görünür şekilde bırakmayın.

Hindistan’da faaliyet gösteren Cosmos Bank’ın SWIFT/ATM altyapısına siber saldırı düzenleyen Kuzey Kore bağlantılı Lazarus grubu 13,5 milyon dolar çaldı. Bankanın sistemlerine oltalama veya uzak yönetim araçlarını kullanarak erişim sağlayan saldırganlar birden fazla saldırı teknikleri kullanarak paraları aktarmayı başardılar.

Saldırı 10 – 13 Ağustos tarihleri arasında gerçekleştirildi. Kuzey Kore bağlantılı Lazarus grubu geçtiğimiz bankalara yönelik en büyük siber tehditler arasında yer aldı. Bu yıl büyük oranda kripto para borsalarını hedef alan grup çeşitli siber saldırılarda bulundu. Diğer taraftan Kuzey Kore’den kaynaklanan zararlı yazılımların büyük bölümünün de Lazarus kodlarının yeniden kullanımıyla oluşturulduğu da ortaya çıktı.

Grup asıl saldırıyı gerçekleştirmeden önce özellikle 10 – 11 Ağustos tarihleri arasında bankanın ağında keşif çalışmaları yapmış. 28 ülkede 450 klonlanmış banka kartını kullanarak 11,5 milyon doların üzerinde yurtiçi ve yurtdışı para transferi gerçekleştirmişler. İşlemlerin onaylanması için de sahte mesajlar kullanılmış. Saldırganlar, banka kartı güvenliği yerine banka altyapısına odaklandıklarından bankanın dolandırıcılık önlemlerini de kolayca aşabilmişler.

Mobil bankacılığa yönelik Truva Atları en popüler zararlı yazılımlar arasında yer alıyor. Bu yazılımlar mobil kullanıcıların banka hesaplarından para çalmak için tasarlanıyor. Bu tür saldırılar, tüm dünyada kolay gelir elde etmek isteyen siber suçlular tarafından sıkça kullanılıyor. Zararlı yazılım, insanların indirip kurmalarını sağlamak için genellikle resmi bir uygulama gibi görünüyor. Bankacılık uygulaması çalıştırıldığında, Truva Atı devreye girerek kendi arayüzünü bankacılık uygulamasının arayüzünün üzerine yerleştiriyor. Kullanıcı, kimlik bilgilerini girdiğinde zararlı yazılım bunları ele geçiriyor.

2018’in ikinci çeyreği bu türden 61.045 adet Truva Atına sahne oldu. Bu sayı, Kaspersky Lab’in bu tehdit türünü incelediği tüm zamanlar içindeki en yüksek miktar. Bu sayıya en büyük katkıyı yapanlar ise Hqwar adlı Truva Atının geliştiricileri oldu. Tespit edilen modların neredeyse yarısı bu zararlı yazılımla ilişkiliydi. Agent adlı Truva Atı ise yaklaşık 5000 adet paketle ikinci sırada yer aldı.

Mobil Bankacılığa Yönelik Truva Atı Kurulum Paketleri

2018’in 2. çeyreğinde, herhangi bir mobil zararlı yazılımın saldırısına uğrayan toplam kullanıcı sayısına göre mobil bankacılıkla ilgili zararlı yazılımların saldırına uğrayan kullanıcıların oranı en yüksek ilk üç ülke şunlar oldu: ABD (%0,79), Rusya (%0,7), Polonya (%0,28) 2018’in ilk çeyreğine kıyasla Rusya ve ABD sıralarını değiştirirken Polonya ise 9. sıradan 3. sıraya yükseldi. Bu yükselişin ardında ise Trojans.AndroidOS.Agent.cw ve Trojan-Banker.AndroidOS.Marcher.w modlarının etkin bir şekilde dağıtılması bulunuyor.

Uzmanlara göre, bu düzeyde yüksek sayılar mobil zararlı yazılımların tüm dünyadaki artma eğiliminin bir parçası olabilir. Tüm mobil zararlı yazılım kurulum paketi sayısının da bir önceki çeyreğe göre 421.000 adet artmış olması bunun bir göstergesi.

Kaspersky Lab Güvenlik Uzmanı Victor Chebyshev, “Bu yılın ikinci yarısındaki tehdit alanı, mobil kullanıcıların güvenliği konusunda endişelenmemiz için birçok neden sundu. Başta bankacılıkla ilgili olanlar olmak üzere mobil zararlı yazılım kurulum paketlerinin genel büyümesi, siber suçluların zararlı yazılımları için sürekli yeni modlar yaparak daha gelişmiş hale getirdiklerini ve siber güvenlik ürünlerinin tespit etmesini zorlaştırdığını gösteriyor.  Bu trendin büyümeye devam etmesiyle, hem kullanıcıların hem de sektörün önümüzdeki aylarda çok daha dikkatli olması gerekiyor.” dedi.

Zararlı yazılım bulaşması riskini azaltmak için kullanıcılara şunlar tavsiye ediliyor:

• Uygulamaları yalnızca güvenilir kaynaklardan indirip kurun. İdeal olan, resmi uygulama mağazasından indirmektir.
• Uygulamanın talep ettiği izinleri kontrol edin. Uygulamanın işleviyle ilgili değillerse (örn. bir okuma uygulaması mesajlara ve aramalara erişmek isterse) bu bir zararlı yazılım işareti olabilir.
• Sizi zararlı yazılım faaliyetlerinden koruyacak sağlam bir güvenlik çözümü kullanın. Kaspersky Internet Security for Android’in ücretsiz sürümü sizi bu tür hoş olmayan durumlardan korumaya yardımcı olur.
• Spam e-postalardaki bağlantılara tıklamayın.
• Cihazınıza root işlemi uygulamayın. Bu şekilde siber suçlular cihazınızda sınırsız yetkiye sahip olabilir.