Altı Aylık Sessizliğin Ardından DanaBot Yeniden Ortaya Çıktı: Yeni Sürüm Windows Sistemlerini Tor Tabanlı Altyapıyla Hedef Alıyor
Dünya çapında yapılan Operation Endgame operasyonuyla altyapısı çökertilen DanaBot zararlı yazılımı, altı aylık aranın ardından yeniden görülmeye başlandı. Zscaler ThreatLabz araştırmacıları, Tor uzantılı komuta-kontrol alanları ve “backconnect” düğümleri kullanan 669 numaralı yeni bir sürüm tespit etti. Bankacılık truva atı olarak bilinen DanaBot’un BTC, ETH, LTC ve TRX adresleri üzerinden çalınan fonları aktardığı, zararlının geçmişte olduğu gibi e-posta, SEO zehirlemesi ve malvertising yoluyla ilk erişim sağladığı bildirildi.
Zscaler ThreatLabz ekibi, Operation Endgame kapsamında altyapısı hedef alınan DanaBot’un aylar süren kesintinin ardından yeniden aktif hâle geldiğini duyurdu. Analizlerde, tehdit aktörlerinin 669 sürümü olarak adlandırılan yeni varyantı kullandığı ve komuta-kontrol iletişiminin Tor tabanlı .onion alan adları ile “backconnect” düğümlerine taşındığı belirlendi.
Kripto Adresleri Tekrar Devrede
Araştırmacılar, tehdit aktörlerinin çalınan fonları aktarmak için Bitcoin, Ethereum, Litecoin ve TRON üzerinde yeni cüzdan adresleri kullandığını tespit etti. Bu adreslerin, güncel kampanyalarda yürütülen finansal hırsızlıklara işaret ettiği ifade edildi.
Bankacılık Truva Atından Modüler Yükleyiciye Evrim
İlk kez Proofpoint tarafından tanımlanan DanaBot, e-posta ve malvertising ile dağıtılan Delphi tabanlı bir bankacılık truva atı olarak biliniyordu. Zamanla modüler bir yapıya dönüşerek tarayıcılarda bulunan kimlik bilgilerini, kripto cüzdan verilerini ve diğer hassas bilgileri hedef alan bir bilgi hırsızına evrildi. Ayrıca malware-as-a-service modeliyle kiralanarak geniş saldırı kampanyalarında kullanıldı.
Operation Endgame’in Etkisi Sınırlı Kaldı
Mayıs ayında yürütülen uluslararası operasyon, Danabot altyapısında ciddi bozulmalara neden olmuş ve bazı dijital varlıklara el konulmuş olsa da, Zscaler’ın bulguları operatörlerin çekirdek kadrosunun yakalanmaması nedeniyle faaliyete geri dönebildiğini gösteriyor. Araştırmacılara göre zararlının geri dönüşü, finansal motivasyonun sürdüğü durumlarda operasyonel dayanıklılığın korunduğunu ortaya koyuyor.
Yayılma Yöntemleri ve Kurumsal Risk
Güncel enfeksiyonlarda, zararlının ilk erişimi genellikle kötü amaçlı e-postalar, SEO zehirlemesi ve malvertising kampanyalarıyla sağladığı bildirildi. Bu yöntemlerle elde edilen erişimler bazı durumlarda fidye yazılımı saldırılarına da zemin oluşturdu.
Kuruluşların, Zscaler tarafından yayımlanan güncel IoC listelerini engelleme kurallarına ekleyerek ve güvenlik araçlarını güncelleyerek olası saldırılara karşı korunabileceği ifade edildi.
Ajans Expres Gazetesi
Tepkiniz Nedir?
