{"id":9823,"date":"2021-07-13T14:02:45","date_gmt":"2021-07-13T11:02:45","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=9823"},"modified":"2021-07-13T14:17:01","modified_gmt":"2021-07-13T11:17:01","slug":"icedid-qbot-banking-trojans-in-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/icedid-qbot-banking-trojans-in-spam\/9823\/","title":{"rendered":"\u0130\u015fle ilgili gibi g\u00f6r\u00fcnen bankac\u0131l\u0131k Truva atlar\u0131"},"content":{"rendered":"

G\u00fcn i\u00e7inde y\u00fczlerce e-posta al\u0131p g\u00f6nderiyorsan\u0131z, e-posta eklerinin otomatik olarak h\u0131zl\u0131ca okunmas\u0131 ve indirilmesi olduk\u00e7a \u00e7ekici gelebilir. Elbette siber su\u00e7lular da bunu avantaja \u00e7eviriyor ve i\u00e7lerinde kimlik av\u0131 ba\u011flant\u0131lar\u0131ndan<\/a> k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlara kadar hemen hemen her \u015feyin olabilece\u011fi \u00f6nemli gibi g\u00f6r\u00fcnen belgeler g\u00f6nderiyorlar. Uzmanlar\u0131m\u0131z k\u0131sa s\u00fcre \u00f6nce IcedID ve Qbot bankac\u0131l\u0131k Truva Atlar\u0131n\u0131<\/a> da\u011f\u0131tan \u00e7ok benzer iki spam kampanyas\u0131 ke\u015ffettiler<\/a>.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 belgeler i\u00e7eren spam mesajlar<\/h2>\n

Her iki e-posta da bir i\u015f yaz\u0131\u015fmas\u0131 gibi g\u00f6r\u00fcn\u00fcyordu. \u0130lk kampanyada sald\u0131rganlar, sahte bir nedenden \u00f6t\u00fcr\u00fc tazminat talebinde bulunuyor veya bir i\u015flemin iptaline ili\u015fkin bir \u015feyler yaz\u0131yorlard\u0131. E-postan\u0131n ekinde, dosya isminde CompensationClaim ve devam\u0131nda birka\u00e7 say\u0131n\u0131n yer ald\u0131\u011f\u0131, s\u0131k\u0131\u015ft\u0131r\u0131lm\u0131\u015f bir Excel dosyas\u0131 bulunuyordu. \u0130kinci kampanyada ise konu \u00f6demeler ve s\u00f6zle\u015fmelerle ilgiliydi ve belgeyi i\u00e7eren ar\u015fiv dosyas\u0131n\u0131n tutuldu\u011fu hacklenmi\u015f internet sitesine bir ba\u011flant\u0131 yer al\u0131yordu.<\/p>\n

Her iki durumda da sald\u0131rganlar\u0131n amac\u0131, al\u0131c\u0131y\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 Excel dosyas\u0131n\u0131 a\u00e7maya ve i\u00e7indeki makroyu \u00e7al\u0131\u015ft\u0131rmaya ikna etmek, b\u00f6ylece kurban\u0131n kulland\u0131\u011f\u0131 cihaza IcedID veya (daha az yayg\u0131n olan) Qbot\u2019u indirmekti.<\/p>\n

<\/strong><\/p>\n

IcedID ve Qbot<\/h2>\n

IcedID\u2019in ara\u015ft\u0131rmac\u0131lar\u0131n dikkatini ilk kez \u00e7ekti\u011fi<\/a> 2017\u2019den, Qbot\u2019un ise 2008\u2019den beri<\/a> kullan\u0131l\u0131yor olmas\u0131 nedeniyle her iki bankac\u0131l\u0131k truva at\u0131 da uzun y\u0131llard\u0131r bilinen bir durum. Uzun y\u0131llard\u0131r kullan\u0131lmas\u0131n\u0131n yan\u0131nda, sald\u0131rganlar da bu s\u00fcre boyunca s\u00fcrekli olarak tekniklerini geli\u015ftirmeye devam ettiler. \u00d6rne\u011fin bir seferinde, tespit edilmesi olduk\u00e7a zor olan steganografi<\/a> ad\u0131ndaki bir y\u00f6ntem kullanarak IcedID\u2019nin ana bile\u015fenini bir PNG g\u00f6r\u00fcnt\u00fcs\u00fcne gizlemeyi ba\u015fard\u0131lar.<\/p>\n

Bug\u00fcn her iki k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131ma da g\u00f6lge pazardan (shadow market) ula\u015fmak m\u00fcmk\u00fcn; yaz\u0131l\u0131mlar\u0131n yarat\u0131c\u0131lar\u0131n\u0131n yan\u0131s\u0131ra, yaz\u0131l\u0131m\u0131 sat\u0131n alan \u00e7ok say\u0131da ki\u015fi de bu truva atlar\u0131n\u0131 da\u011f\u0131t\u0131yor. K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n ana g\u00f6revi, tercihen \u015firket hesaplar\u0131 (dolay\u0131s\u0131yla ticari e-postalar\u0131n kullan\u0131ld\u0131\u011f\u0131) olmak \u00fczere banka hesaplar\u0131na ait oturum a\u00e7ma kimlik bilgilerini ve banka kart\u0131 bilgilerini ve \u00e7almak. Truva atlar\u0131 ama\u00e7lar\u0131na ula\u015fmak i\u00e7in \u00e7ok \u00e7e\u015fitli y\u00f6ntemlerden yararlan\u0131yor. \u00d6rne\u011fin:<\/p>\n