fbpx
Back to Blog
IcedID İsimli Zararlı Covid-19'dan Sonra Yaygınlaştı

IcedID İsimli Zararlı Covid-19’dan Sonra Yaygınlaştı

İlk olarak Temmuz ayında tespit edilen IcedID zararlısının arkasındaki siber saldırganlar, saldırıyı gerçekleştirmeden önce hedeflerini araştırıyorlar ve haklarında bilgi topluyorlar. Güvenlik araştırmacısı Paul Kimayong’un açıklamalarına göre saldırganlar, kurbana içersinde Truva atı olan bir e-posta gönderiyor ve kullanıcıları bu Truva atını çalıştırmaları üzerine ikna etmeye çalışıyorlar. E-postayı gönderen kişi ve bu e-postayı alan kişi arasında bir iş ilişkisi kuruluyor ve bu sayede kimlik avı saldırısının başarıya ulaşma oranı yükseliyor.

İlk olarak Eylül 2017’de IBM X-Force araştırmacıları tarafından gözlemlenen IcedID, bir web tarayıcısına enjekte oluyor ve kötü amaçlı kod çalıştırarak kullanıcıların finansal verilerini çalıyordu. Ancak COVID-19 salgını başladığından beri eskisine göre çok daha popüler ve saldırı yöntemlerinde farklılık olduğu gözlemlendi. (bkz: Revamped IcedID Banking Trojan Campaign Uses COVID-19 Lure).

Bu saldırı nasıl gerçekleşiyor?

IcedID zararlısı kullanıcıya e-posta yoluyla gönderiliyor ve bir muhasebe departmanından gönderilmiş gibi görünüyor. E-posta içerinde ise ekte bulunan dosyanın sözde bir fatura olduğu söyleniyor ancak dosya aslında kötü amaçlı bir zararlı, parolaya sahip bir arşiv dosyası.

IcedID Zararlısı Keepnet Labs Phishing Simulator

Görsel 1. IcedID Zararlısı Bulunan E-Posta Örneği

E-posta eki olarak gönderilen şifreli arşiv dosyasının bir parolaya sahip olmasının asıl sebebi ise, antivirüs-antimalware yazılımlarının incelemesini ve tespit oranını azaltmaktır. Arşiv dosyasının parolası ise yine e-posta içerisinde kullanıcıya veriliyor ve kullanıcının arşivi açması kolaylaştırılıyor. Saldırganlar, e-posta içerisindeki bazı kelimelerin spam filtreleme ürünlerine ve belirli anahtar kelimeleri algılayan sistemlere takılmaması için, e-posta içerisindeki “ekli” kelimesi “At..t ach..ed” şeklinde yazıyorlar.

Arşiv dosyası açıldıktan sonra ne oluyor?

Birkaç aşamadan oluşan bu saldırının, arşiv dosyası çıkarıldıktan sonra ilk aşaması başlıyor. Arşivin içerisinden, farklı bir zararlı dosya indirilmesini sağlayan basit bir Word dosyası çıkıyor.

Word dosyası açıldığında ise kullanıcının karşısında, belgenin MS Word’ün eski bir sürümünde oluşturulduğunu ve makroları aktif eder ise belgenin açılacağı hakkında bilgi yer alıyor. Makrolar etkinleştirildikten sonra, VB komutları 3wuk8wv [.] Com veya 185.43.4 [.] 241 adresleri ile iletişime geçerek bir DLL (Dynamic Link Library) dosyasını cihaz üzerinde kalıcılığını arttırabilmek için indiriyor ve PDF uzantılı olarak bilgisayara kayıt ediyor.

İkinci aşama ise, üçüncü aşamayı gerçekleştirmek için kullanıcı bilgisayarına bir PNG dosyası indiriyor. Üçüncü aşamada, PNG dosyası diğer dosyaların şifresini çözüyor ve ardından çalıştırıyor. {Random}.exe olarak bilgisayara kayıt ediyor ve cihazda kalıcı olmak için zamanlanmış bir görev (Task Scheduler) üretiyor. IcedID zararlısı üçüncü aşamada ana modülünü, msiexec.exe kullanarak sisteme enjekte ediyor.

IcedID  zararlısı sisteme yüklenmesinin ardından uzmanlar tarafından incelenmesinin zorlaştırmak ve daha iyi görünmek için apple.com, twitter.com, microsoft.com gibi bilinen etki alanlarına rastgele isteklerde bulunuyor

Bu saldırılardan korunmak için ne yapmalıyız?

Oltalama saldırıları, siber saldırıların büyük bir oranını oluşturuyor ve oluşturmaya devam edecek gibi görünüyor. Kullanıcılar kendilerine gelen e-postaların içerisindeki linklere tıklamadan veya ekinde bulunan dosyayı açmadan önce o e-postanın zararlı bir içerik olduğunu anlaması için bilinç ve farkındalıklarının arttırılması gerekiyor. Geçmişte farkındalık arttırma çalışmaları sınıf eğitimleri ile yapılmaktaydı ancak COVID-19 sebebi ile insanların bir araya toplanması sakıncalı. Keepnet Labs Awareness Educator modülü içerisindeki farkındalık eğitimleri sayesinde insanlar, ister evde, ister kafede isterse otobüste eğitim alabilirler. Bu modül içerisinde Bilgi Güvenliği’nin her başlığında eğitim mevcut ve bu eğitimlerin en önemli özellikleri ise kullanıcıyı eğlendirirken öğretmesidir. Profesyonel dublaj ekipleri ile seslendirilmiş olan eğlenceli ve öğretici KEEPNET NINJIO eğitimleri bu adresten gözlemleyebilir,  Keepnet Labs’i ücretsiz deneyebilir, ve diğer eğitim içeriklerini kendiniz gözlemleyebilirsiniz.

Sedat Ozdemir Profil

Sedat Ozdemir / Siber Tehdit Avcısı / Keepnet Labs

Sedat Ozdemir is a Cyber Threat Hunter at Keepnet Labs. Sedat has more than 3 years of experience in IT attestation, penetration testing, programming and team leading. Sedat’s primary focus is on emerging technology issues and privacy concerns for organizations. Sedat is an active writer, speaker, and enjoys spending her time educating people on security and privacy.

Share this post

Back to Blog