DarkGate Kötü Amaçlı Yazılımı RaaS Finansal Motivasyonlu Bilgisayar Korsanlarını Açıyor


FBI’ın Ağustos 2023’te Qakbot altyapısını kapatmasının ardından EclecticIQ’daki güvenlik analistleri, DarkGate yükleyicisinin kullanımında bir artış gözlemledi.

EclecticIQ, DarkGate’in öncelikle TA577 ve Ducktail gibi finansal motivasyona sahip grupların ve BianLian ve Black Basta gibi RaaS operatörlerinin elinde olduğuna inanıyor.

Bu gruplar, maksimum karı elde etmek için çifte şantajlı fidye yazılımı saldırıları kullanarak Avrupa ve Amerika’daki finans kurumlarına odaklanıyor

DarkGate sürüm 5 etkinliğine genel bakış
DarkGate sürüm 5 etkinliğine genel bakış

Kurbanları kötü amaçlı yazılımı indirmeleri için kandırmak amacıyla Google’ın DoubleClick reklam ağı ve bulut depolama gibi meşru hizmetlerden yararlanıyorlar.

Belge

Canlı Hesap Devralma Saldırısı Simülasyonu

Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.

DarkGate Forumlarda sunuluyor

16 Haziran 2023’te RastaFarEye olarak bilinen bir siber suçlu, çevrimiçi forumlarda tehlikeli bir hizmetin reklamını yaptı: DarkGate Hizmet Olarak Kötü Amaçlı Yazılım (MaaS).

Bu hizmet, bilgisayar korsanlarına kurbanların cihazlarını kontrol etmeleri ve verilerini uzaktan çalmaları için araçlar sağlıyordu.

Persona RastaFarEye, bir siber suç forumunda DarkGate'in reklamını yapıyor.
Persona RastaFarEye, bir siber suç forumunda DarkGate’in reklamını yapıyor.

Kimlik avı dolandırıcılığı

EclecticIQ’daki güvenlik araştırmacıları, DarkGate kötü amaçlı yazılımının arkasındaki siber suçluların öncelikle finansal kurumları hedef aldığına inanıyor.

Bunun bir örneği, Almanya’nın otomotiv sektörünün ikinci büyük bağımsız bankası olan Bank Deutsches Kraftfahrzeuggewerbe’ye (BDK) yönelik bir kimlik avı girişimidir.

Saldırganlar, muhtemelen BDK’nın sektör odağından yararlanmak amacıyla otomotiv temalı bir tuzak kullanarak kötü amaçlı bir PDF eki içeren bir e-posta gönderdi.

PDF’deki “Aç” düğmesini tıklatmak, kurbanları DarkGate’i indirmek için tasarlanmış bir kimlik avı web sitesine yönlendirdi.

Kimlik avı sitesi, güvenlik önlemlerini aşmak için yaygın bir taktik olan, kötü amaçlı yazılımı ZIP sıkıştırılmış bir dosya içinde gizlenmiş olarak teslim etti.

PDF belgesinde otomotiv temalı yem
PDF belgesinde otomotiv temalı yem

Önerilen Öneriler

Özellikle geçici klasörlerden .vbs dosyalarını çalıştırmak için wscript.exe veya cscript.exe’nin kullanıldığı etkinliği arayın.

SIGMA kuralı “Geçici Klasörden Şüpheli Komut Dosyası Yürütme” veya Elasticsearch KQL sorgusu gibi araçlar bunun tespit edilmesine yardımcı olabilir.

Ağ trafiğini, şüpheli parametreler içeren “adclick.g.doubleclick.net” gibi garip alan adlarına yönlendirmeler veya .CAB dosyalarının indirilmesi gibi olağandışı kalıplar açısından izleyin.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link