FBI’ın Ağustos 2023’te Qakbot altyapısını kapatmasının ardından EclecticIQ’daki güvenlik analistleri, DarkGate yükleyicisinin kullanımında bir artış gözlemledi.
EclecticIQ, DarkGate’in öncelikle TA577 ve Ducktail gibi finansal motivasyona sahip grupların ve BianLian ve Black Basta gibi RaaS operatörlerinin elinde olduğuna inanıyor.
Bu gruplar, maksimum karı elde etmek için çifte şantajlı fidye yazılımı saldırıları kullanarak Avrupa ve Amerika’daki finans kurumlarına odaklanıyor
Kurbanları kötü amaçlı yazılımı indirmeleri için kandırmak amacıyla Google’ın DoubleClick reklam ağı ve bulut depolama gibi meşru hizmetlerden yararlanıyorlar.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
DarkGate Forumlarda sunuluyor
16 Haziran 2023’te RastaFarEye olarak bilinen bir siber suçlu, çevrimiçi forumlarda tehlikeli bir hizmetin reklamını yaptı: DarkGate Hizmet Olarak Kötü Amaçlı Yazılım (MaaS).
Bu hizmet, bilgisayar korsanlarına kurbanların cihazlarını kontrol etmeleri ve verilerini uzaktan çalmaları için araçlar sağlıyordu.
Kimlik avı dolandırıcılığı
EclecticIQ’daki güvenlik araştırmacıları, DarkGate kötü amaçlı yazılımının arkasındaki siber suçluların öncelikle finansal kurumları hedef aldığına inanıyor.
Bunun bir örneği, Almanya’nın otomotiv sektörünün ikinci büyük bağımsız bankası olan Bank Deutsches Kraftfahrzeuggewerbe’ye (BDK) yönelik bir kimlik avı girişimidir.
Saldırganlar, muhtemelen BDK’nın sektör odağından yararlanmak amacıyla otomotiv temalı bir tuzak kullanarak kötü amaçlı bir PDF eki içeren bir e-posta gönderdi.
PDF’deki “Aç” düğmesini tıklatmak, kurbanları DarkGate’i indirmek için tasarlanmış bir kimlik avı web sitesine yönlendirdi.
Kimlik avı sitesi, güvenlik önlemlerini aşmak için yaygın bir taktik olan, kötü amaçlı yazılımı ZIP sıkıştırılmış bir dosya içinde gizlenmiş olarak teslim etti.
Önerilen Öneriler
Özellikle geçici klasörlerden .vbs dosyalarını çalıştırmak için wscript.exe veya cscript.exe’nin kullanıldığı etkinliği arayın.
SIGMA kuralı “Geçici Klasörden Şüpheli Komut Dosyası Yürütme” veya Elasticsearch KQL sorgusu gibi araçlar bunun tespit edilmesine yardımcı olabilir.
Ağ trafiğini, şüpheli parametreler içeren “adclick.g.doubleclick.net” gibi garip alan adlarına yönlendirmeler veya .CAB dosyalarının indirilmesi gibi olağandışı kalıplar açısından izleyin.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.