Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Vektörler Ekipler için Kimlik Avı ve Kötü Amaçlı Reklamcılığı İçerir
Sayın Mihir (MihirBagwe) •
11 Eylül 2023
Rusça suç forumlarında reklam vermek, DarkGate kötü amaçlı yazılımının yazarına, Microsoft Teams’de yükleyiciyi İK temalı sosyal mühendislik sohbet mesajları yoluyla ulaştırmak için yapılan olağandışı bir kimlik avı kampanyası da dahil olmak üzere, enfeksiyonlardaki ani artıştan da anlaşılacağı üzere karşılığını veriyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
Siber savunucular, DarkGate emtia yükleyicisini ilk olarak 2018’de fark etti. Deutsche Telekom’dan araştırmacılar Ağustos ayı sonlarında, emtia yükleyicinin kodlayıcısının bu yaz kötü amaçlı yazılımı sınırlı sayıda bağlı kuruluşa kiralamaya başladığını söyledi. Araştırmacılar, kurbanları DarkGate’i indirmeye teşvik etmek için yoğunlaştırılmış e-posta spam kampanyasını açıklamak üzere “Bundan önce, kötü amaçlı yazılım yalnızca geliştirici tarafından özel olarak kullanılıyordu” dedi.
Haziran 2023’te ZeroFox, DarkGate’in orijinal yazarı olduğunu iddia eden birinin, yıllık 100.000 ABD Doları karşılığında kötü amaçlı yazılımın erişimini yalnızca 10 kişiye tanıttığını bildirdi.
TrueSec araştırmacıları, Microsoft Teams üzerinde DarkGate Loader kötü amaçlı yazılımını içeren kimlik avı mesajlarını isimsiz bir kuruluşa göndermek için ele geçirilen Office 365 hesaplarını kötüye kullanan tehdit aktörlerini tespit ettiklerini söyledi. Yem, SharePoint tarafından barındırılan “Tatil programındaki değişiklikler.zip” adlı dosyaya bir bağlantıydı. TrueSec, Güvenli Ekler ve Güvenli Bağlantılar gibi Microsoft Teams güvenlik özelliklerinin kötü niyetli saldırıyı tespit etmediğini veya engellemediğini söyledi.
Kaspersky tarafından yapılan araştırmalar, DarkGate’in yeteneklerinin arasında gizli VNC, Windows Defender’ı dışlama, tarayıcı geçmişini çalma, ters proxy, dosya yönetimi ve Discord token çalmayı içerdiğini söyledi. Özelliklerin “tipik indirici işlevselliğinin ötesine geçtiğini” yazdılar.
Malwarebytes, ağustos ayının sonlarında DarkGate enfeksiyonunun başka bir vektörünü daha ortaya çıkardı: kötü amaçlı reklamcılık. Damlalığın arkasındaki kötü aktörler Google arama motorunda reklam satın aldı. Reklama tıklayan mağdurlar, popüler bir ağ tarama aracı görünümüne bürünen ve meşru uygulamayı “ama aynı zamanda bazı ekstra dosyaları”, yani DarkGate’i içeren bir indirme sunan sahte bir web sayfası gördüler.