Hackerlar DarkGate Kötü Amaçlı Yazılımını Sunmak İçin Skype ve Teams’i Kötüye Kullanıyor


Hackerlar DarkGate Kötü Amaçlı Yazılımını Sunmak İçin Skype ve Teams'i Kötüye Kullanıyor

Bilgisayar korsanları, DarkGate kötü amaçlı yazılımını hedeflenen işletmelere yaymak için Teams ve Skype mesajlaşma platformlarını kullandı. DarkGate kötü amaçlı yazılımı yüklendiğinde kurbanlara bir Visual Basic for Applications (VBA) yükleyici komut dosyası gönderilir.

DARKGATE olarak bilinen Windows tabanlı kötü amaçlı yazılım, hedef uç noktalara uzaktan erişim, dosya şifreleme, kripto para birimi madenciliği ve kimlik bilgileri hırsızlığı yapma yeteneğine sahiptir. İlk olarak 2018 yılında halka duyuruldu.

Trend Micro’ya göre, darkGate saldırıları Amerika kıtasında tespit edildi ve bunu Asya, Orta Doğu ve Afrika’da da yakından takip edildi.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


DarkGate kampanyasının dağıtımı
DarkGate kampanyasının dağıtımı

DarkGate, yasa dışı yeteneklerini dağıtmak ve gerçekleştirmek için Windows için tasarlanmış otomasyon ve komut dosyası oluşturma aracı AutoIt’i de kullanıyor. AutoIt gerçek bir araçtır, ancak diğer kötü amaçlı yazılım aileleri genellikle onu savunmaları aşmak ve fazladan bir gizleme katmanı eklemek için kullanır.

DarkGateEnfeksiyon Zinciri Skype’ı Kötüye Kullanıyor

Saldırgan, ele geçirilen Skype hesabını, mevcut bir konuşma dizisini ele geçirmek ve PDF dosyasına benzeyen ancak kötü amaçlı bir VBS betiği olan bir mesaj göndermek için kullandı.

Araştırmacılar, “Tehdit aktörü, alıcıyı ekteki VBA komut dosyasını çalıştırması için kandırmak amacıyla iki kuruluş arasındaki güvenilir ilişkiyi kötüye kullandı” dedi.

Enfeksiyon Zinciri
Enfeksiyon Zinciri

Dolayısıyla alıcı, göndereni güvenilir bir dış kaynağın üyesi olarak tanıdı. Araştırmacılar, bu durumda curl komutunun meşru AutoIt uygulamasını ve ilgili kötü amaçlı dosyaları almak için kullanıldığını gözlemledi.

PDF dosyası gibi görünen gömülü kötü amaçlı ek içeren Skype mesajı
PDF dosyası gibi görünen gömülü kötü amaçlı ek içeren Skype mesajı

Bilgisayar korsanları Microsoft Teams Platformunu Kötüye Kullanıyor

Başka bir örnekte, Microsoft Teams mesajı yoluyla bağlantı sağlayan bir tehdit yer alıyordu. Bu durumda kurban, kuruluşun teknolojisinin dış kullanıcılardan bildirim almasına olanak sağlaması nedeniyle spam olasılığına maruz kalmıştır.

Kötü amaçlı ek içeren Teams iletisi
Kötü amaçlı ek içeren Teams iletisi

Saldırganlar, ihlalin Teams sürümünde bir.LNK dosyasını gizlediler. Ayrıca kimliği belirsiz bir harici gönderen, Teams’i kötüye kullanan örneği gönderdi.

Araştırmacılar, “İndirilen eserler hem AutoIt’in meşru kopyasını hem de DarkGate’in kötü niyetli yeteneklerini içeren, kötü niyetli olarak derlenmiş bir AutoIt komut dosyasını içeriyordu” dedi.

Öneri

Siber suçlular bu verileri, kripto para madencileri, bilgi hırsızları, fidye yazılımları, kötü amaçlı ve/veya kötüye kullanım amaçlı uzaktan yönetim araçları ve fidye yazılımları gibi kötü amaçlı yazılımları yaymak için kullanabilir.

Dış etki alanlarının yasaklanması, eklerin sınırlandırılması ve mümkünse taramanın benimsenmesi gibi düzenlemelerin uygulanabilmesi için kuruluşun anlık mesajlaşma uygulamaları üzerinde kontrol sahibi olması gerekir.

Meşru kimlik bilgilerinin güvenliği ihlal edilirse uygulamaların güvenliğini sağlamak için çok faktörlü kimlik doğrulamanın (MFA) kullanılması önemle tavsiye edilir. Bu, bu yöntemleri kullanan saldırıların yayılma tehdidini azaltır.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link