Bilgisayar korsanları, yaygın olarak kullanıldıkları için genellikle XLSX, HTML ve PDF dosyalarını hedefler ve güvenilir dosya formatları da onları çeker.
Bu, bunların farkında olmayabilecek alıcılara başarılı bir şekilde teslim edilmesini kolaylaştırır.
Forcepoint araştırmacıları yakın zamanda Darkgate kötü amaçlı yazılımının, hesapları ele geçiren ve kendilerini kopyalayan XLSX, HTML veya pdf gibi kötü amaçlı eklentiler içeren kimlik avı e-postaları aracılığıyla dağıtıldığını ileri sürdü.
Kayıp verileri, dolandırıcılığı, şantajı ve açığa çıkan hassas bilgileri tehlikeye atarken fark edilmeden gidebilmesi anlamında ısrarcıdır.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın
Teknik Analiz
Forcepoint X-Labs, sahte bir Intuit Quickbooks fatura PDF’si içeren bir kimlik avı e-postası aracılığıyla başlatılan yakın tarihli bir Darkgate kampanyasını analiz etti.
Kullanıcıları Java’yı yüklemek için bir bağlantıya tıklamaları konusunda kandırıyor ancak bunun yerine onları bir sonraki kötü amaçlı yazılım aşaması yükünü gizlice indiren coğrafi sınırlamalı bir URL’ye yönlendiriyor.
Kötü niyetli bir “belge_[number].pdf” dosya analizi, büyük bir XObject görüntüsünde gömülü köprü içeren bir fatura PDF’sini gösterir.
Bağlantıya tıklandığında kötü amaçlı bir .jar dosyası indirilir. İlişkili URL’ler, daha önce QakBot aktörleri tarafından kullanılanlarla aynı kalıpları paylaşıyor ve bu da potansiyel bağlantıları gösteriyor.
Kötü amaçlı “.jar” dosyasının JD-GUI ile analiz edilmesi, curl.exe komutunu kullanarak bir “.ZIP” dosyasını C:\Downloads\ dizinine indirmek için kod içeren bir “.PNG” ve gizlenmiş bir “.class” dosyasını açığa çıkardı.
ZIP indirildikten sonra, içeriği çıkarmak için PowerShell’in genişletilmiş arşivinden yararlanılır.
Bu sınıf dosyası ayrıca MSI dosyalarını indirip kaydedebilir. ZIP içerisinde AutoIt3.exe ve .a3x formatında derlenmiş bir AutoIt betiği çıkarıldı ve bunlar daha sonra JAR tarafından gizlenmiş bir cmd komutu aracılığıyla çalıştırıldı.
Darkgate, AutoIt’i başka bir yerde kullanmıştır ve bu komut dosyası, AU3!EA06 başlıklarına sahip AutoIt 3.26+ kullanılarak derlenmiştir. Bu komut dosyasının ne yaptığını belirlemek için daha fazla araştırmaya ihtiyaç vardır.
AutoIt’in BITXOR ve BinaryToString() işlemlerini anlamak zordur. Bu araç, büyük bir veri akışını yerel bir değişkende birleştirir.
DLLSTRUCTCREATE() kitaplık işlevi, baytların belleğe yüklenmesine ve ardından sistem kaynaklarının kötüye kullanılmasına olanak tanır. Komut dosyaları kabuk kodunu alır ve sunucu botnet’ine uzaktan katılır.
Darkgate kampanyası, QuickBooks faturaları gibi görünen kimlik avı e-postaları dağıtarak kullanıcıların, gizlenmiş AutoIt komut dosyaları gibi daha fazla yük için talimatlar içeren kötü amaçlı JAR dosyalarını indirmelerini sağlıyor.
Bu komut dosyaları kabuk kodunu çalıştırır ve uzak sunucularla iletişim kurar. Darkgate kampanyası, profesyonel kötü amaçlı yazılım tekniklerini ve geçmiş URL kalıplarını güzel bir şekilde harmanlayarak gelişmiş bir kalıcı tehdit (APT) ortaya koyuyor.
IOC’ler
İlk Aşama URL’leri:
- Çiftlik[.]net/uvz2q
- ek[.]com/emh0c
- bağlı kuruluş[.]com/myu0f
- yönetici[.]net/jxk6m
- Advent satışları[.]ortak[.]İngiltere/iuw8a
- amikamobil[.]com/ayu4d
- adztrk[.]com/ixi7r
- havacılık caddesi[.]com/cnz8g
- Amishwood’lar[.]com/jwa4v
İkinci aşama URL’si:
- Sbeckwithlaw[.]com/1[.]zip
C2:
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın