Trickbot botneti, ESET araştırmacılarının da dahil olduğu küresel bir operasyonla bitirilme noktasına getirildi. Aralarında Türkiye’nin de bulunduğu birçok ülke de, 1 milyondan fazla Windows bilgisayarını etkileyen Trickbot, kimlik bilgilerini çalacak ve fidye yazılımlarını sistemlere bulaştıracak şekilde çalışıyordu.
Botnet, uzaktan yönetilen ve kötü amaçlı yazılım bulaşmış çok sayıda bilgisayarın oluşturduğu ağı tanımlar. Şu ana kadarki en geniş yayılım gösteren ve en uzun ömürlü botnetlerden olan Trickbot’a yönelik düzenlenen operasyon sonucunda, komuta ve kontrol sunucularına hasar vererek işleyişine ağır bir darbe vuruldu.
ESET’in de dahil olduğu küresel operasyon; Microsoft, Lumen Black Lotus Labs, NTT ve bazı başka ortaklarla yürütüldü. ESET; teknik analiz, istatistiksel bilgi, bilinen komuta ve kontrol sunucusu alan adları ve IP’lerle bu çabaya katkıda bulundu. Ele geçirilmiş sistemlerden kimlik bilgileri çalarak hareket eden ağın, son zamanlarda fidye yazılımı gibi daha büyük zararlar verecek saldırıları da yayan bir mekanizmaya sahip olduğu gözlendi.
ESET Araştırmacıları, Trickbot’un etkinliklerini 2016’da ilk tespit edildiği zamanlardan bu yana izliyordu. Sadece 2020 yılında ESET’in botnet izleme platformu, 125 binden fazla kötü amaçlı yazılım örneğini analiz ederek farklı Trickbot modüllerinin kullanıldığı 40 binden fazla yapılandırma dosyasının şifresini çözdü. Bu durum, bu botnet tarafından kullanılan farklı komuta ve kontrol (C&C) sunucularının bakış açısını net bir şekilde gösteriyor. ESET kullanıcıları, Win32/TrickBot ve Win64/TrickBot olarak etiketlenen Trickbot‘a karşı koruma altında.
Kötü Amaçlı Bir Bankacılık Yazılımı
ESET Güvenlik Araştırmacısı Jean-Ian Boutin, “Trickbot en yaygın kötü amaçlı bankacılık ailelerinden biridir ve dünya genelindeki internet kullanıcılarına yönelik bir tehdittir” açıklamasında bulundu. Trickbot’un online banka hesaplarından kimlik bilgilerini çalmak ve sahte işlemler yapmaya çalışmak için kullanıldığını aktaran Boutin, “Trickbot kampanyalarını izleyerek on binlerce farklı yapılandırma dosyası topladık, bu sayede Trickbot uygulayıcılarının hangi web sitelerini hedef aldığını biliyoruz. Hedef alınan sayfalar, genellikle finans kuruluşlarına ait oluyor” diye konuştu.
Yazılımın sahip olduğu en eski eklentilerden biri Trickbot’un web inject kullanmasına olanak tanıyor. Bu teknik, ele geçirilmiş bir sistemin kullanıcısının, belirli web sitelerini ziyaret ettiğinde gördüğü şeyi dinamik olarak değiştirmesini sağlıyor.
ABD Ordusu, Kasım ayında yapılacak ABD başkanlık seçimleri için Trickbot’un tehdit oluşturabileceğini ancak bu operasyonla engellendiğini paylaştı
Trickbot operasyonuyla ilgili yorum yapan ABD Ordusu Siber Komutanlığı, botnetin yaklaşan Amerikan başkanlık seçimlerini etkileyebilecek etkinliklerde bulunabileceğinden endişe edildiğini ancak düzenlenen operasyonla bunun engellendiğini ifade etti.
İlk yorum yapan olun