CoreBot Nedir?

banking

Oldukça tehlikeli bir bankacılık trojanı olan CoreBot geri döndü.

Güvenlik araştırmacıları CoreBot trojanının geri döndüğünü tespit etti. Banka müşterilerini kimlik avı e-postasıyla hedef alan CoreBot oldukça tehlikeli bir zararlı yazılım. CoreBot zararlı yazılımının en aktif oluğu dönem 2015 yılının yaz aylarıydı.

Deep Instinct’teki araştırmacılar CoreBot yazılımında bir değişiklik fark etti. CoreBot zararlı yazılımının yolladığı spam e-postalarda bir yenilik olarak bir Microsoft Office eki bulunuyor.

Deep Instinct araştırmacılarından Tal Leibovich ve Shaul Vilkomir-Preisman 1 Kasım’da yazdıkları blog yazısında şunları söyledi:

Yollanan spam e-postalarında bulunan Microsoft Office eki içerisinde VBA scrpit barındırıyor.

CoreBot tarafından yollanan e-postalar kullanıcıları kandırabilmek için ilgi çekici başlıklar kullanıyor. Örneğin “Ödemeniz için teşekkür ederiz” veya “Faturanızı görüntüleyin” gibi başlıklar kullanıyor. Bu sayede kurbanlar gönderilen eki indirmek için kandırılmış oluyor ve indirilen ek açıldığında zararlı yazılım hedef cihaza bulaşmış oluyor.

Araştırmacılara göre CoreBot bankacılık trojanı, diğer aktif bankacılık zararlı yazılımlarıyla birlikte çalışıyor. Fakat henüz CoreBot’un ilişkili olduğu diğer zararlı yazılımları açıklamadılar.

ZDNet’e göre CoreBot zararlı yazılımının yaratıcıları 2015 yılından bu yana sunucularını farklı bir IP adresine taşımışlar. İlk analizlere göre CoreBot’un IP adresleri Fransa ve Kanada’ya ait.

CoreBot Kanada bankalarının adına spam e-postalar göndererek müşterileri hedef alıyor. Bu Kanada bankalarının isimleri ise şunlar: TD, Des-Jardins, RBC, Banque National ve Scotia Bank.