|  | 

General Topics

TTNET Phishing Saldırısı – Sahte E-Fatura Bilgilendirme Maili – FatMal Zararlı Yazılımı

img-responsive

ttnet_fakte_phishing_detailMerhabalar,

Sabah saatlerinde aşağıdaki gibi bir mail İdari işlerimize gelmiş, mail içeriğinde ZIP dosyası mevcut ve fatura tutarı inanılmaz biçimde kabarık. Bu kadar yüksek fatura tutarını görünce insan ister istemez panik olup hemen kontrol etmek için mail içerisindeki linkte tıklıyor ve sizi PDF dosyası indirmek için bir adrese yönlendiriyor. Bu dosya da ZIP ile sıkıştırılmış. Dosyayı açmak istediğiniz de ise “fatura_20394.pdf                                   .exe” gibi bir dosya çıkıyor. Dosya virüslü fakat anti-virüs yakalamadı o da ilginç. Dikkatli olmanızı öneririm..

Buna benzer bir zararlı yazılım 2012 yılında (malware) www.Bilgiguvenligi.gov.tr adresinde FatMal olarak isimlendirilmiş. İlgil adresten detaylarını inceleyebilirsiniz.

İlk fırsatta dosyayı analiz edip ne yapmaya çalışıtğını da yazacağım 🙂

Ek Not: ttnet-bilgilendirme.net adresine girdiğinizde durum çakılmasın diye http://www.ttnet.com.tr/Sayfalar/Ana-Sayfa.aspx adresine yönlendirme yapılmış ( resmi site )

Ek Not 2: Adresi güncellemişler yeni adresi www.ttnet-bilgilendirme.com

Yeni resim ise aşağıdaki gibi :

ttnet-online.com sahte e-fatura sayfası resmi

ttnet-online.com sahte e-fatura sayfası resmi

KISA BİR ANALİZ ( Tıklamış olanlar için ) – Tüm Analiz Dosyası -> TTnet Phishing Analiz Dosyası

İlgili exe aşağıdaki klasörleri oluşturuyor :

  • C:\Documents and Settings\All Users\Application Data\Sun
  • C:\Documents and Settings\All Users\Application Data\yrekymok

Aşağıdaki klasölere erişim değişiklik/yeni dosya kopyalıyor.

  • C:\Documents and Settings\All Users\Application Data\Sun\omydynagojis
  • C:\Documents and Settings\All Users\Application Data\Sun\otaxobabkxes
  • C:\Documents and Settings\All Users\Application Data\yrekymok\omydynagojis
  • C:\Documents and Settings\All Users\Application Data\yrekymok\otaxobabkxes
  • Ip
  • PIPE\lsarpc
  • \Device\Ip
  • \Device\Tcp

ve daha sonra bu dizinlere erişip kendisini çalışıtırıyor. Aşağıdaki dizinde yer alan dosyanın içeriğini değiştriyor.

  • C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
  • \S-1-5-21-842925246-1425521274-308236825-500\a18ca4003deb042bbee7a40f15e1970b_4604e8cc-5b9c-4ffb-a374-a62e6d0494fc
  • Aynı zamanda kendisini saklamak için attrib komunutunu çalıştırıyor.
  • En son olarak AVG ve Sophos bu dosyayı Zbot.ASC Trjan (truva atı) olarak tanımladı.

şimdilik bu kadar…zbot.asc

Aşağıda gelen mailin içeriği mevcut:

From: TTNET Bilgilendirme [mailto:efatura@ttnet-bilgilendirme.net]

Sent: Thursday, July 11, 2013 10:13 AM

To: _Firma Irtibat Adresi

Subject: [FİRMA İSMİ ] BİLGİ İŞLEM HİZMETLERİ AŞ, TTNET Hizmeti Fatura
bilgileriniz

Download Adresindeki resim :

ttnet_fakte_phishing_donwload

TTnet Sahe E-Fatura Phsihing Saldırısı

TTnet Sahte E-Fatura Phishing Saldırısı

 

ttnet-phishing-saldirisi-sahte-e-fatura-bilgilendirme-maili

ABOUT THE AUTHOR

Application Security , Information and Software Security Specialist Ethical Hacker and Pentester

7 Comments

  1. isa

    Merhaba,
    6 ay önce yine böyle bir dalga maili ile 500 bin tl kadar para kaldırmıştı hackerlar. Sanırsam yeni bir dalga daha var şu an. Bana da aynı mail den geldi. Kaspersky hiçbir şekilde bulamadı. Dikkat etmesek direk tıklıyorduk exeye pdf diye. Hocam ne yaptığını bulabilirseniz lütfen paylaşın. Takipteyiz.

    • Niyazi Karagöz

      Merhabalar,

      Dün yanlışlıkla dosyayı çalıştırdım. Bugün ise bankalara internetten girmeye çalıştığımda tek kullanımlık şifreden de sonra cep telefonu marka, model ve numarasını isteyen ekran araya giriyor ve geçilemiyor. Tüm bankalar için aynı işlemi yapabiliyor. Hedef sms ile gelen tek kullanımlık şifreyi de ele geçirmek.

      Çözüm için yardım bekliyorum.

      • Murat Kaya

        Merhaba, sisteminizde anti-virüs yok ise avg free kurabilirsiniz. Avg bu virüsü tanıyor ve siliyor.

        Sistem bilginiz ne düzeyde bilmiyorum bu yüzden regisrty ile ilgili bir işlem yapmanızı önermiyorum şimdilik. AVG çözüm olmaz ise Çalıştır’da msconfig yazıp başlangıç sekmesinde tuhaf isimli bir dosya var mı kontrol edebilirsiniz. Burada registry yolunu da göstermekte buradan ilgili dosyayı kontrol edebilirsiniz.

        Ayrıca yukarıda belirttiğim dosyaları gizli dosyalar dahil aratıp bulup bulamadığınıza bakın bulabiliyorsanız silin.

        Yeterli teknik bilginiz yok ise format en iyi/kesin çözüm olacaktır ne yazık ki.

  2. Murat Kaya

    Neler yaptığına dair online bir analiz dosyası ekledim ve kısa bir açıklama yazdım. Ama tam olarak ne yaptığını söyleyebilmem için sandbox ortamında direkt çalıştırıp gözlemek lazım o da ancak bu akşam (ev)lab ortamında olur 🙂

  3. Mert

    Selam Murat,

    Aldığın e-postayı ve dosyayı benimle paylaşabilirsen sevinirim.

    Görüşmek dileğiyle…

  4. Kemal Akçocuk

    Bu gün bana da geldi. eke tıkladığımda google chrome bunun zararlı olduğunu yazdı ve do$yayı $ildi. tek kullanımlık şifreleri ele geçirmeye çalışıyorlar… dikkat

  5. Erman Pehlivan

    Bugün aynı mail geldi. Hatta az önce.. Tabi tufaya düşmedim .zip ‘i görünce.. Neyse belki PDF içindedir dedim, açtım baktım exe dosya uzantısı.. İki tıklamadan edemedim, fatura olmadığına emindim ama, bakalım antivirüs yakalıcak mı dedim, yakalamadı.. Dosya ilgili uzantıları çalıştırdı mı bilmem, avg free indirip tarayacağım şimdi.

POST YOUR COMMENTS