DarkGate kötü amaçlı yazılımının yeni sürümü şu anda malspam, kötü amaçlı reklamlar ve SEO zehirlenmesi yoluyla aktif olarak dağıtılıyor.
Temmuz 2023’te, potansiyel kurbanları Windows BT yönetim aracına yönelik sahte bir siteye çeken bir kötü amaçlı reklam kampanyası gözlemledik. Önceki benzer saldırılardan farklı olarak, son yük farklı şekilde paketlendi ve hemen tanınamadı.
Tuzak dosyası, tespit edilmekten kaçınmak için yükün gizlendiği bir AutoIT betiği içeren bir MSI yükleyicisi olarak geldi. Analiz ve karşılaştırma sonucunda bu örneğin, ilk olarak 2018’de tanımlanan çok amaçlı kötü amaçlı yazılım araç seti DarkGate’in güncellenmiş bir sürümü olduğunu belirledik.
Kötü amaçlı yazılımın gizleme ve şifreleme özellikleri yakın zamanda diğer araştırmacılar tarafından belgelendiğinden, web dağıtım yöntemlerinden ikisine, yani kötü amaçlı reklamların kullanımına ve arama motoru zehirlenmesine odaklanacağız.
Gözlemlediğimiz kampanyalar, DarkGate’in geliştiricisinin haziran ayında yaptığı, kötü amaçlı yazılımın yeni yetenekleri ve sınırlı müşteri koltuklarıyla övünen bir duyuruyla da örtüşüyor.
Yeni DarkGate
DarkGate (MehCrypter olarak da bilinir) 2018’de ve daha sonra 2020’de ilk kez torrent siteleri aracılığıyla dağıtıldı ve çoğunlukla Avrupalı kurbanlara ve özellikle İspanyol kullanıcılara odaklandı. enSilo’nun (şu anda Fortinet) orijinal blog gönderisinde, yazarının kötü amaçlı eklentileri yaymak için e-posta kullanıyor olabileceği belirtiliyor.
Haziran 2023’te RastaFarEye takma adını kullanan bir tehdit aktörü, XSS yeraltı forumunda DarkGate olarak bilinen bir proje hakkında bir reklam yayınladı. ZeroFox Dark Ops istihbarat ekibi tarafından detaylandırıldığı üzere yeni sürüm, beklenen kimlik bilgisi çalma yeteneklerini sunarken tespitten kaçınmak için belirli temel özellikleri içeriyor. Maliyet (yılda 100 bin dolar) ve sınırlı kullanılabilirlik (10 müşteri), DarkGate’i bulunması zor bir araç seti haline getiriyor.
Fotoğraf kredisi: ZeroFox Dark Ops istihbarat ekibi
Ağustos başında yeni DarkGate saldırılarını tanımlayan iki blog yazısı yayınlandı:
- Aon’un Stroz Friedberg Olay Müdahale Hizmetleri, DarkGate’in bu yeni sürümünü kullanan ScatteredSpider’a (UNC3944) benzer bir gruptan yakın zamanda meydana gelen bir olayla nasıl karşılaştıklarını ayrıntılarıyla anlatıyor.
- Araştırmacı 0xToxin, kötü amaçlı yazılımın tam bir teknik analiziyle birlikte DarkGate’e giden bir yükleyici dağıtan kimlik avı e-postaları hakkında yazdı.
Kötü amaçlı reklamcılık
Kötü amaçlı reklamcılık kampanyalarını araştırırken 13 Temmuz 2023’te aşağıdaki Google reklamını gözlemledik:
Gelişmiş IP Tarayıcı, BT yöneticileri tarafından kullanılan popüler bir araçtır. Reklama tıklayan mağdurlara tuzak bir site sunuluyor:
İndirilen dosya (Advanced_IP_Scanner_2.5.4594.1.msi), yasal Gelişmiş IP Tarayıcı ikili dosyasının yanı sıra yürütüldükten sonra %temp% klasöründe paketinden çıkarılan bazı ekstra dosyaları içeren bir yükleyicidir:
DarkGate’in ilk sürümlerinde zaten mevcut olan AutoIT’in tanıdık kullanımının farkındayız.
Not: Aynı tehdit aktörü, 8 Ağustos 2023’te Cyberuptive tarafından belgelendiği üzere Bing aracılığıyla kötü amaçlı reklamlar da sunuyordu.
SEO zehirlenmesi
SEO zehirlenmesi, arama motorlarının sıralama sistemiyle oynamaya çalışan çeşitli tehdit aktörleri ve dolandırıcılar tarafından kullanılan eski bir tekniktir. Her ne kadar kullanıma sunulması biraz daha zaman alsa da, kullanıcıları kötü amaçlı siteleri ziyaret etmeleri için kandırmanın etkili bir yoludur.
Google’da aşağıdaki arama sonucu çıktı:
Etki alanı gelişmiş tarayıcı[.]bağlantı 2023-07-28 tarihinde oluşturuldu ve ipadvancedscanner’da barındırılan tuzak sayfaya yönlendirmek için kullanılıyor[.]com. İndirilen IPAVSCAN_win_vers_1.1.3.msi dosyası da aynı AutoIt şifreli veriye sahiptir:
Anti-VM ve diğer kontroller
Bu kampanyalarla ilişkili yeni kaydedilen alan adlarından bazılarının gelişmiş parmak izi kontrolleri uyguladığını fark ettik. Kullanım kolaylığı nedeniyle yakında norm haline gelebilecek bu eğilimi yakın zamanda belgeledik.
İşte bu sefer Angry IP Tarayıcı için başka bir cazibe, bir alan adı (ipangry[.]com kayıtlı: 2023-07-29):
Angry_win_0.47_installer.msi yükü ve AutoIt betiği:
Bu kampanyaların arkasındaki tehdit aktörleri, kaçırma tekniklerinin bir kombinasyonunu kullanarak DarkGate’i minimum sistem ayak iziyle dağıtabiliyor. Ayrıca malspam, kötü amaçlı reklamcılık ve SEO zehirlenmesinden yararlanarak dağıtım tekniklerini de çeşitlendiriyorlar.
Malwarebytes’in kötü amaçlı yazılımdan koruma motoru, bu kötü amaçlı yazılımı Backdoor.DarkGate olarak algılar ve web korumamız, onun bilinen komut ve kontrol sunucularını engeller.
Malwarebytes for Business (EDR) müşterileri aşağıdaki uyarıları da görebilir:
Uzlaşma Göstergeleri
Kötü amaçlı reklam kampanyası
top[.]advscan[.]com
advanced-ips-scanne[.]com
a4scan[.]com
advanced-ip-scanne[.]com
SEO zehirlenmesi kampanyası
advancedscanner[.]link
ipadvancedscanner[.]com
185.224.137[.]54
185.11.61[.]65
DarkGate örnekleri
e5ca3a8732a4645de632d0a6edfaf064bdd34a4824102fbc2b328a974350db8f
206042ec2b6bc377296c8b7901ce1a00c393df89e7c4cbbb1b8da1a86a153b67
9a7db0204847d26515ed249f9ed577220326f63a724a2e0fb6bb1d8cd33508a3
DarkGate C2’ler
80.66.88[.]145
107.181.161[.]200