Aralarında Türkiye’nin de bulunduğu yüzlerce ülkede 1
milyondan fazla Windows bilgisayarı etkileyen Trickbot, kimlik bilgilerini
çalıyor, ayrıca fidye yazılımları da bulaştırabiliyor. ABD Ordusu, Kasım ayında
yapılacak ABD başkanlık seçimleri için Trickbot’un tehdit oluşturabileceğini
ancak bu operasyonla engellendiğini paylaştı.
Botnet, uzaktan yönetilen ve kötü amaçlı yazılım bulaşmış çok sayıda bilgisayarın oluşturduğu ağı tanımlar. En geniş alana yayılan ve en uzun ömürlü botnetlerden birine dönüşen Trickbot’a yönelik operasyonla, komuta ve kontrol sunucuları hezimete uğratılarak işleyişine ağır darbe vuruldu.
ESET’in de dahil olduğu küresel operasyon; Microsoft,
Lumen Black Lotus Labs, NTT ve bazı başka ortaklarla yürütüldü. ESET; teknik
analiz, istatistiksel bilgi, bilinen komuta ve kontrol sunucusu alan adları ve
IP’lerle bu çabaya katkıda bulundu.
Trickbot, ele geçirilmiş bilgisayarlardan kimlik
bilgileri çalmasıyla ünlü. Ayrıca son zamanlarda fidye yazılımı gibi daha büyük
zararlar veren saldırıları yayan mekanizmaya da sahip olduğu gözlemlendi.
2016’dan bu yana aktif
ESET Araştırmacıları, Trickbot’un etkinliklerini 2016’da
ilk tespit edildiği zamanlardan bu yana izliyor. Sadece 2020 yılında ESET’in
botnet izleme platformu, 125 binden fazla kötü amaçlı yazılım örneğini analiz
ederek farklı Trickbot modüllerinin kullandığı 40 binden fazla yapılandırma
dosyasının şifresini çözdü. Bu durum, bu botnet tarafından kullanılan farklı
komuta ve kontrol (C&C) sunucularının bakış açısını net bir şekilde
gösteriyor. ESET kullanıcıları, Win32/TrickBot ve Win64/TrickBot olarak
etiketlenen Trickbot‘a karşı koruma altında.
Aslında bir bankacılık zararlı yazılımı
ESET Güvenlik Araştırmacısı Jean-Ian Boutin, “Trickbot en
yaygın kötü amaçlı bankacılık ailelerinden biridir ve dünya genelindeki
internet kullanıcılarına yönelik bir tehdittir” tespitini yaptı. Trickbot’un
online banka hesaplarından kimlik bilgilerini çalmak ve sahte işlemler yapmaya
çalışmak için kullanıldığını aktaran Boutin, “Trickbot kampanyalarını izleyerek
on binlerce farklı yapılandırma dosyası topladık, bu sayede Trickbot
uygulayıcılarının hangi web sitelerini hedef aldığını biliyoruz. Hedef alınan
sayfalar, genellikle finans kuruluşlarına ait oluyor” diye konuştu.
Güçlü yetenekleri var
Yazılımın sahip olduğu en eski eklentilerden biri
Trickbot’un web inject kullanmasına olanak tanıyor. Bu teknik, ele geçirilmiş
bir sistemin kullanıcısının, belirli web sitelerini ziyaret ettiğinde gördüğü
şeyi dinamik olarak değiştirmesini sağlıyor.
Amerikan başkanlık seçimlerini etkileyebilir miydi?
Trickbot operasyonuyla ilgili yorum yapan ABD Ordusu
Siber Komutanlığı, botnetin yaklaşan Amerikan başkanlık seçimlerini
etkileyebilecek etkinliklerde bulunabileceğinden endişe edildiğini ancak
düzenlenen operasyonla bunun engellendiğini ifade etti.
YORUMLAR