Araştırma, DarkGate kötü amaçlı yazılımının, MSI dosyaları veya VB komut dosyası yükleri yoluyla kullanıcılara kimlik avı e-postaları aracılığıyla dağıtılan yüksek malspam etkinliğini ortaya çıkardı.
Darkgate kötü amaçlı yazılımı 2018’den beri aktiftir ve dosyaları belleğe indirme ve yürütme yeteneğine, Gizli Sanal Ağ Bilgi İşlem (HVNC) modülüne, tuş günlüğü tutma, bilgi çalma yeteneklerine ve ayrıcalık yükseltme özelliklerine sahiptir.
Bir RastaFarEye kullanıcısı xss’de DarkGate Loader’ın reklamını yapıyor[.]bu bir istismardır[.]16 Haziran 2023’ten bu yana siber suç forumlarında farklı fiyatlandırma modelleriyle.
Telekom Security, “Kötü amaçlı yazılımın geliştiricisinin yakın zamanda kötü amaçlı yazılımı sınırlı sayıda bağlı kuruluşa kiralamaya başladığı gerçeği göz önüne alındığında, DarkGate kötü amaçlı yazılım aktivitesindeki mevcut artış makul” dedi.
Saldırı Uygulaması
Başlangıçta, kimlik avı e-postaları yükü MSI değişkeni veya VBScript değişkeni ile dağıtıyordu.
Saldırı, kullanıcıyı Trafik dağıtım sistemi (TDS) aracılığıyla kimlik avı sitesine yönlendiren kimlik avı URL’sinin tıklanmasıyla başlar.
Daha sonra, DarkGate’in şifresini çözmek ve bir şifreleyici (veya yükleyici) aracılığıyla başlatmak için bir kanal görevi gören bir kabuk kodunu yürütmek üzere AutoIt betiğini çalıştıran MSI dosyası indirilecektir.
Oysa Visual Basic Komut Dosyası yükü, AutoIt yürütülebilir dosyasını almak için cURL’yi ve kötü amaçlı yazılımı yürütmek için komut dosyasını kullanır.
Darkgate kötü amaçlı yazılımının başarılı bir şekilde başlatılması üzerine, kötü amaçlı yazılım kendisinin bir kopyasını diske yazacak ve yeniden başlatmalar arasında yürütmeyi sürdürmek için bir kayıt defteri çalıştırma anahtarı oluşturacaktır.
Ayrıca AV tarafından tespit edildiğinde süreci sonlandırabilir ve bilinen AV ürününe göre davranışını değiştirebilir.
Kötü amaçlı yazılım, işletim sistemi, oturum açan kullanıcı, o anda çalışan programlar ve diğer şeyler hakkında bilgi edinmek için farklı veri kaynaklarını sorgulayabilir.
Kötü amaçlı yazılım, gizli verileri çıkarmak için Nirsoft tarafından yayınlanan çok sayıda meşru ücretsiz yazılım aracını kullanıyor.
Kötü amaçlı yazılım düzenli olarak yeni talimatlar için C2 sunucusunu yoklar, alınan komutları yürütür ve son olarak sonuçları C2 sunucusuna geri gönderir.
IOC
SHA256 6e068b9dcd8df03fd6456faeb4293c036b91a130a18f86a945c8964a576c1c70
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.