Online bankacılık kullanıcılarının kimlik bilgilerini çalmaya yönelik tasarlanmış olan, NukeBot isimli yeni bir zararlı yazılım keşfedildi. Kaspersky Lab araştırmacılarının ortaya çıkardığı yazılımın, TinyNuke adıyla bilinen fakat saldırı düzenlemeye uygun özellikler içermeyen Truva atının yeni bir sürümü olduğu anlaşılıyor. Tamamen çalıştırılabilir olan ve saldırmaya hazır bekleyen yeni sürüm, belirli bankaların kullanıcılarını hedefleyen kodlar içeriyor.
Araştırmacıların farklı zararlı yazılım aileleriyle karşılaşması alışılmışın dışında bir gelişme olmasa da, siber suçluların elinde saldırıya hazır bir Truva atı bulunması, yakın zamanda geniş çaplı bir operasyon düzenleyerek birçok kullanıcıyı hedefleyebilecekleri anlamına geliyor. Kendi müşterilerini olduğu kadar, başka kullanıcıları da erkenden uyarmak isteyen Kaspersky Lab, söz konusu zararlı yazılımla ilgili kısa bir analiz yayınladı.
NukeBot, bankaları hedef alan bir Truva atı. Bir sisteme bulaştıktan sonra, kullanıcının tarayıcısında görüntülenmekte olan online bankacılık hizmetinin web sayfasına zararlı bir kod “enjekte” ederek kullanıcı verilerini çalıyor ve kimlik bilgilerini kullanıyor. Kaspersky Lab araştırmacılarına göre, zararlı yazılımın derlenmiş bazı örneklerine şu anda bir takım yer altı hacker forumlarında rastlanıyor. Bunların bir çoğu tam olarak işler sayılamayacak taslaklar olsa da, şirketin uzmanları, gerçekten tehdit oluşturabilecek bazı örneklerine de rastlamış bulunuyor.
Bulunan örneklerin yaklaşık yüzde 5’i, NukeBot’un yeni ve geliştirilmiş kodlarıyla saldırı düzenleyebilecek olan “savaş sürümleri”. Söz konusu sürümler ayrıca, gerçek online bankacılık hizmetlerinin arayüzlerinin belirli kısımlarını taklit eden özel kodlar, yani “enjeksiyonlar” da içeriyor. Bu enjeksiyonların analizi sonucunda, Kaspersky Lab araştırmacıları, NukeBot’un yeni sürümlerinin ana hedefinin birçok Fransız ve ABD bankasının kullanıcıları olduğunu ortaya çıkardı.
Araştırmacılar ayrıca, NukeBot’un enjeksiyon özelliği göstermeyen, fakat e-posta istemcisi ve tarayıcı şifreleri çalmak üzere tasarlanmış birçok modifikasyonunu da tespit etti. Bu da yeni sürümlerin geliştiricilerinin, bu zararlı yazılım ailesinin özelliklerini genişletmek istediğine işaret ediyor.
Kaspersky Lab’da güvenlik araştırmacısı olarak çalışan Sergey Yunakovsky, “Bu zararlı yazılımın en güncel sürümlerinin arkasındaki suçlular NukeBot’u henüz aktif olarak yaymıyor olsalar da, bu durum büyük ihtimalle yakında değişecektir. Bu durumun benzerlerine daha önce başka zararlı yazılım aileleri özelinde de rastladık. Suçlular, saldırıya hazır bir zararlı yazılımı, kısa bir test sürecinden sonra bir takım web siteleri, istenmeyen e-postalar ve oltalama taktikleriyle geniş bir şekilde yaymaya başlıyor. Şimdiye kadar NukeBot’un Fransa ve ABD’de faaliyet gösteren en az 6 bankanın kullanıcılarına saldırmaya hazır sürümlerine rastladık, ancak bu liste sadece bir başlangıç olacak gibi görünüyor. Yaptığımız bu kısa araştırmanın amacı bankacılık sektörünü ve online bankacılık müşterilerini bu potansiyel tehlike konusunda uyarmak. Onları araştırmamızın sonuçları doğrultusunda kendilerini bu tehdide karşı korumaya teşvik ediyoruz” diyor.
NukeBot saldırılarından korunmak için Kaspersky Lab uzmanları şunları öneriyor:
Online bankacılık hizmeti sunan finansal kuruluşlar için:
- Dolandırıcılığı önleyen etkili bir çözüm kullandığınızdan emin olun. Böylece müşteri hesaplarının izinsiz kullanım vakalarını ve kural dışı finansal faaliyetleri hızlıca tespit edebilirsiniz.
Online bankacılık müşterileri için:
- Finansal işlemleri korumaya yarayan, Kaspersky Lab’ın Safe Money çözümü gibi teknolojilere sahip bir internet güvenliği çözümü kullanın.
- Olası enfeksiyonlara karşı düzenli sistem taramaları gerçekleştirin.
Kaspersky Lab ürünleri, söz konusu zararlı yazılımı Trojan-Banker.Win32.TinyNuke adıyla tespit ediyor.