Eurograbber: 36 milyon Euro çalan malware

Geçtiğimiz aylarda Avrupa genelinde yaklaşık 30.000 internet bankacılığı hizmeti kullanıcısını hedef alan bir zararlı yazılımın 36 milyon Euro’nun üzerinde bir kayba yol açtığı tahmin edilmektedir.

Saldırının Cinsi
Eurograbber olarak adlandırılan saldırı gelişmiş, çok kademeli ve hedefe özel olarak sınıflandırılabilir. Günümüzün en tehlikeli saldırı türlerinden biri olarak kabul edilen ve APT (Advanced Persistent Threat) olarak adlandırılan saldırı türünün bir çeşididir. Eurograbber kurbanın hem bilgisayarına hem de cep telefonuna yerleştiği için bankalar tarafından kullanılan 2 kademeli kimlik doğrulama yöntemini geçersiz kılabilmektedir.


Saldırının anatomisi
İlk Aşama
Kullanıcının bilgisayarına “Zeus” adıyla bilinen bir Truva Atı yerleşiyor. Gelen bir “phishing” veya spam mailindeki bir bağlantıya tıklayarak bulaşabileceği gibi Zeus internet sayfalarını ziyaret edenlere de bulaşabilmektedir. 


İkinci Aşama
Zeus kurbanın işlem yapmak için bir banka sitesine bağlanmasını bekliyor. Bankanın sayfasını ziyaret eden kurbanın internet tarayıcısına javascript kodu gönderen Zeus bir “güvenlik seviyesi arttırma” sayfasının çıkmasını sağlıyor.



Üçüncü Aşama
Eurograbber edindiği telefon numarasını komuta merkezine gönderiyor.


Dördüncü Aşama
Ele geçirilen telefon numarasına kurbanın biraz önce başlattığını düşündüğü “güvenlik seviyesi arttırımı” sürecinin tamamlanması için gerekli bir SMS gönderiliyor. SMS içerisinde bulunan internet bağlantısının tıklanması Eurograbber’ın mobil sürümünün indirilmesine neden oluyor. Aşağıdaki resimde Android ve Blackberry kullanıcılarına gönderilen iki farklı mesajın ekran görüntüsü mevcuttur.



Beşinci Aşama
Cep telefonuna gönderilen SMS ile eşzamanlı olarak kurbanın bilgisayarında “Ücretsiz şifreleme uygulaması için kullanacağınız indirme bağlantısı SMS ile tarafınıza gönderilmiştir. Uygulama kurulduktan sonra telefonunuzun ekranında beliren şifreyi aşağıdaki kutuya yazın” uyarısı belirmektedir.



Altıncı Aşama
Zararlı yazılım kurulduktan sonra kurbanın telefonunun ekranında ve kullanılan dile uygun olarak bir mesaj beliriyor.



Böylece kurbanın bilgisayarına ve cep telefonuna zararlı yazılım kurulmuş oluyor.
Paranın çalınması
Yukarıda anlatılan zararlı yazılımların kurulmasından sonra saldırganlar kurbanın parasını çalabilecek hale gelmektedir. Para transfer işlemi aşağıdaki beş adımda gerçekleşmektedir.

Birinci Adım
Kurbanın banka sitesine bağlanması üzerine zararlı yazılım çalışmaya başlamaktadır.

İkinci Adım
Saldırganlar tarafından belirlenmiş bir banka hesabına para transferinin yapılması için gerekli istek bankaya gönderilir.

Üçüncü Adım
Para transfer işleminin tamamlanabilmesi için banka tarafından kurbanın telefonuna gönderilen şifre mesajı telefonda bulunan zararlı yazılım tarafından yakalanır. Kurban kendisine bir SMS geldiğini bile fark etmez.

Dördüncü Adım
Bankadan gelen SMS saldırganların kullandığı bir telefon numarasına iletilir. Bu mesajda bulunan şifre daha sonra saldırganların kurbanın bilgisayarındaki zararlı yazılımı yönetmek için kullandıkları komuta sunucusuna iletilir.

Beşinci Adım
Ele geçirilen işlem onay şifresi bankaya kurbanın bilgisayarı üzerinden iletilir ve işlem tamamlanır. Bu işlemler sırasında kurbanın ekranında hiçbir şey görülmemektedir. 
Bu işlem kurban bankanın sitesine her bağlandığında tekrarlanır.
Savunma Teknikleri

Aşağıdaki uygulamaların hayata geçirilmesi benzer bir olayı büyük ölçüde engelleyecektir:

Güvenlik Çözümlerinin Güncel Tutulması
Bu saldırıda kullanılan Zeus adlı zararlı yazılım ilk kez 2007 yılında tespit edilmiştir 2010 yılından beri belli başlı güvenlik çözümlerinin imza tabanlarında mevcuttur. Bu nedenle güncellemeleri yapılan güvenlik çözümlerinin bu tür zararlı yazılımları kurum ağına girişte yakalaması mümkündür.

Anti-Spam Çözümlerinin Kullanılması
Zeus’un yayılmak için kullandığı başlıca yöntem phishing ve spam mailleridir. Phishing mailleri bir bankadan veya kamu kurumundan gelmiş gibi görünen ama saldırganlar tarafından kurbanı belli bir sayfaya yönlendirmek için kullanılan epostalardır. Phishing dışında spam mailleri de zararlı yazılımları yaymak için kullanılmaktadır. Kurumda güncel bir anti-spam çözümünün olması bu tür epostaların kullanıcılara ulaşmasını engeller.

URL Filtreleme Çözümlerinin Kullanılması
Zeus adlı zararlı yazılım kendini “drive by download” olarak da adlandırılan bir yöntemle de bulaştırabilmektedir. Bunun için kurbanın zararlı yazılımın olduğu siteyi ziyaret etmesi yeterlidir, herhangi bir dosyayı yüklemesine veya açmasına gerek yoktur. URL filtreleme çözümleri zararlı yazılımların bulunduğu siteleri engelleyebilmektedir.

Sistemlerin Güncellenmesi
İşletim sistemlerinin güncel tutulması önemlidir. Günümüz saldırılarına baktığımızda işletim sistemi kadar kullanılan diğer yazılımların da güncel tutulması gerektiğini görüyoruz. Adobe Reader, Adobe Flash, gibi yazılımların yanında internet tarayıcısı gibi diğer bileşenlerin de güncellenmesi bazı saldırı türlerinin engellenmesini sağlayabilir.
Savunmaya Yönelik Düşünce Yapısı
İnternet ne yazık ki güvenli ve güvenilir bir ortam değildir. İnternet’ten gelebilecek tehditlerin bir kısmı belli savunma mekanizmalarına yapılan yatırımlarla engellenebilse bile kullanıcının düşünce yapısı da önemlidir. Açıkça talep etmediğimiz hiçbir epostaya güvenmemek edinilmesi gereken faydalı bir bakış açısıdır. Bununla beraber başlatmadığımız hiçbir sürece de aynı şekilde kuşkuyla yaklaşmamızda fayda vardır. Bu örnekte süreç “güvenilir internet bankacılığı” bahanesiyle saldırgan tarafından ve internet tarayıcısı aracılığıyla başlatılmıştır.