İlk kez 2007’de tespit edilen ve “en hızlı yayılan” ünvanını elinde tutan Zeus isimli bankacılık trojanının yeni bir versiyonu keşfedildi. Ancak bu versiyon sadece banka hesaplarını değil, daha fazlasını çalıyor. Bankacılık virüsü Terdot gibi davranan trojan 2016 ortalarından beri ortalarda dolaşıyor ve “ortadaki adam (MitM)” tekniği ile girilen web sayfaları ve şifreleri dahil her türlü bilgiyi çalıyor.
Güvenlik araştırmacıları bu trojanın şimdi daha fazlasını da yaptığını ve SSL sertifikalarını taklit etmek için açık kaynak araçlarından yararlandığını ve bu yolla sosyal medya ve mail hesaplarına sızdığını tespit etmişler. Genellikle Kanada bankalarına saldırırken tespit olan Terdot isimli bankacılık trojanı da aynısını yapıyordu. Ancak yeni tespit edilen virüs yani Terdot’un yeni çeşidi, ilaveten istediği dosyayı indiriyor ve yönetiyor.
Trojanın çoğunlukla SunDown Exploit Kit ile sızılmış web siteleri aracılığıyla dağıtıldığını ve yanısıra içinde sahte PDF ikonu bulunan bir mail ile de bulaşabildiği görülmüş.
Bu ikonu tıkladığınızda, bir Javascript kod yüklüyor ve çalıştırıyor. Bunun tespitini engellemek için de bir dizi karmaşık işlem yapıyor. Terdot’un yeni çeşidini parça parça yüklüyor. İlginç bir başka husus da şu; kendi sertifika otoritesini oluşturuyor ve kurbanın ziyaret ettiği her bir domain için sertifika üretiyor. Böylece de TLS ((Transport Layer Security) engellemesini geçiyor.
Virüs bulaştıktan sonra, Trojan kendisini tarayıcı işlemleri içine enjekte ediyor ve bu yolla bilgisayarı kendi web proxy’sine yönlendiriyor. Böylece trafiği okumaya başlıyor. Bilgisayardan giden talepleri incelerken, geri dönen cevapları okumak için Javascript olan bir casus kodu yerleştiriyor. Dolayısıyla kimlik bilgilerini çalıyor.
Araştırmacılara göre, bu esnada mesela bankaya ya da sosyal medya hesabına gönderilen veriler trojan tarafından durdurulabiliyor ve gerçek zamanlı olarak değiştirilebiliyor. Bu yolla diğer sosyalmedya hesaplarına sahte linklerin de gönderilebildiği yani kendini yayabildiği anlaşılmış.
Araştırmacılar, Bu yeni virüsün tehlikeli, çok güçlü, tespit edilmesi ve temizlenmesi zor bir trojan olduğunu düşünüyorlar.
Kaynak : 