Bir tehdit aktörü, insanları DarkGate ve RedLine gibi bilgi hırsızlığı yapan kötü amaçlı yazılımları indirmeye ikna etmek için donanım üreticisi Corsair’deki Facebook Reklamları uzmanı pozisyonu hakkında sahte LinkedIn gönderileri ve doğrudan mesajlar kullanıyor.
Siber güvenlik şirketi WithSecure, bu aktiviteyi tespit etti ve grubun faaliyetlerini takip etti; bugün yayınlanan bir raporda grubun, geçen yıl tespit edilen ‘Ördek Kuyruğu’ kampanyalarından sorumlu Vietnamlı siber suç gruplarıyla bağlantılı olduğu ortaya çıktı.
Bu kampanyalar, kötü amaçlı reklam amaçlı kullanılabilecek veya diğer siber suçlulara satılabilecek değerli Facebook işletme hesaplarını çalmayı amaçlıyor.
DarkGate ilk olarak 2017’de fark edildi ancak dağıtımı, yazarının kötü amaçlı yazılıma erişimi daha geniş bir kitleye satmaya karar verdiği Haziran 2023’e kadar sınırlı kaldı.
DarkGate’in kullanımına ilişkin son örnekler arasında, Microsoft Teams aracılığıyla yükü zorlayan ve ele geçirilen Skype hesaplarından yararlanarak kötü amaçlı yazılıma yol açan bir enfeksiyon zincirini tetiklemek üzere VBS komut dosyaları gönderen kimlik avı saldırıları yer alıyor.
Korsan cazibesi
Vietnamlı tehdit aktörleri esas olarak ABD, İngiltere ve Hindistan’da sosyal medya yönetimi pozisyonlarında bulunan ve Facebook işletme hesaplarına erişimi olması muhtemel kullanıcıları hedef aldı. Yem LinkedIn üzerinden teslim ediliyor ve Corsair’de bir iş teklifi içeriyor.
Hedefler kandırılarak bir URL’den kötü amaçlı dosyalar indirilir (“g2[.]by/corsair-JD”), bir PDF veya DOCX belgesi ve aşağıdaki adlara sahip bir TXT dosyası içeren bir ZIP dosyasını (“Maaş ve yeni ürünler.8.4.zip”) bırakmak üzere Google Drive veya Dropbox’a yönlendirir:
- Corsair.docx’in İş Tanımı
- Maaş ve yeni ürünler.txt
- PDF Maaş ve Ürünler.pdf
WithSecure araştırmacıları yukarıdaki dosyaların meta verilerini analiz etti ve RedLine hırsız dağıtımına yol açan ipuçları buldu.
İndirilen arşiv, ‘curl.exe’yi yeni bir konuma kopyalayıp yeniden adlandıran ve ‘autoit3.exe’yi ve derlenmiş bir Autoit3 betiğini indirmek için kullanan, muhtemelen DOCX dosyasına katıştırılmış bir VBS betiği içerir.
Yürütülebilir dosya betiği başlatır ve betiğin gizliliğini kaldırır ve betikte bulunan dizeleri kullanarak DarkGate’i oluşturur.
Kurulumdan otuz saniye sonra, kötü amaçlı yazılım, güvenlik ürünlerini ele geçirilen sistemden kaldırmaya çalışır ve bu, otomatik bir işlemin varlığını gösterir.
LinkedIn, geçen yılın sonlarında platformda, kullanıcıların bir hesabın şüpheli mi yoksa sahte mi olduğunu belirlemesine yardımcı olabilecek, kötüye kullanımla mücadele edecek özellikler sunmuştu. Ancak yeni bir hesapla iletişime geçmeden önce doğrulanmış bilgileri kontrol etmek kullanıcılara düşüyor.
WithSecure, kuruluşların bu tehdit aktörünün faaliyetlerine karşı savunma yapmasına yardımcı olabilecek bir güvenlik ihlali göstergeleri (IoC) listesi yayınladı. Ayrıntılar arasında IP adresleri, kullanılan alanlar, URL’ler, dosya meta verileri ve arşiv adları yer alır.