Araştırmacılar, DarkGate Loader için Microsoft Teams’in güvenlik özelliklerini aşan yeni bir dağıtım yöntemi buldular.
Araştırmacılar, siber suçluların DarkGate Loader kötü amaçlı yazılımını yaymak için kullandığı yeni bir yöntem buldu. Şimdiye kadar DarkGate genellikle kimlik avı e-postaları yoluyla dağıtılıyordu. Malspam kampanyası, kurbanları kötü amaçlı yazılımı indiren bir köprüye tıklamaya ikna etmek için çalıntı e-posta dizilerini kullandı. Ancak Malwarebytes ayrıca DarkGate’in kötü amaçlı reklamcılık ve SEO zehirleme kampanyaları yoluyla yeniden yüklendiğini de tespit etti.
RastaFarEye adını kullanan bir siber suçlu, 16 Haziran 2023’ten bu yana siber suç forumlarında DarkGate Loader’ın reklamını yapıyor. Kötü amaçlı yazılım aktif hale geldiğinde uzaktan erişim, kripto para madenciliği, tuş günlüğü tutma, pano çalma ve bilgi çalma gibi çeşitli kötü amaçlı faaliyetler için kullanılabilir.
Yeni olan, araştırmacıların DarkGate Loader’ı sunmak için Microsoft Teams’i kullanan bir kampanyaya dair kanıt bulmaları.
“29 Ağustos’ta, 11:25 ile 12:25 UTC arasındaki zaman aralığında, kampanyadan önce ele geçirilen iki harici Office 365 hesabından Microsoft Teams sohbet mesajları gönderildi. Mesaj içeriği, alıcıların uzaktan barındırılan kötü amaçlı bir dosyayı indirmeleri ve açmaları için sosyal mühendislik yapmayı amaçlıyordu.”
Dağıtılmış bağlantı başlangıçta bir trafik dağıtım sistemine (TDS) işaret eder. Saldırganın belirlediği gereksinimler karşılanırsa TDS, kurban kullanıcıyı MSI indirmesi için nihai yük URL’sine yönlendirecektir. Kullanıcı indirilen MSI dosyasını açtığında DarkGate enfeksiyonu tetiklenir.
Teams saldırılarında gözlemlenen indirme konumları, “Tatil programındaki değişiklikler.zip” gibi adlara sahip .zip dosyalarını barındıran sharepoint.com URL’leriydi. ZIP dosyası, PDF belgesi gibi görünen kötü amaçlı bir LNK dosyası (kısayol) içeriyor: “Tatil programında değişiklikler.pdf.lnk.”
Kısayolun tıklatılması, Autoit3.exe’yi ve paketlenmiş bir komut dosyasını indirmek ve yürütmek için yeniden adlandırılmış bir cURL’nin (URL sözdizimini kullanan dosyalar dahil olmak üzere verileri almak veya göndermek için bir komut satırı aracı) indirilmesini ve yürütülmesini tetikleyen bir komut satırını çalıştırır. Önceden derlenmiş AutoIT betiği, kodu dosyanın ortasında gizler ve yürütüldüğünde kabuk kodunu içeren yeni bir dosyayı bırakır.
Kabuk kodu çalıştırıldığında ilk kullandığı şey, yeni bir dosya oluşturmak için “bayt bayt” tekniği, diğer bir deyişle yığılmış dizeler adı verilen DarkGate Loader olarak tanımlanan bir Windows yürütülebilir dosyasıdır.
Koruma
Güvenli Ekler veya Güvenli Bağlantılar gibi mevcut Microsoft Teams güvenlik özellikleri bu saldırıyı tespit edemedi veya engelleyemedi. BleepingComputer, 2023 yılının Haziran ayında, uygulamadaki harici kaynaklardan gelen dosyalara yönelik kısıtlamalara rağmen, güvenlik araştırmacılarının Microsoft Teams ile bir kuruluşa kötü amaçlı yazılım göndermenin basit bir yolunu bulduğunu bildirdi. Microsoft Teams, harici kiracı hesaplarından dosya teslimini engellemek için istemci tarafı korumalarına sahiptir. Ancak bir mesajın POST isteğinde dahili ve harici alıcı kimliği değiştirilerek kısıtlama aşılabilir; bu da Teams’in harici bir kullanıcıya sanki dahili bir kullanıcıymış gibi davranmasıyla sonuçlanır.
Microsoft Teams içindeki bu saldırı vektörünü önlemenin tek yolu, Microsoft Teams’in yalnızca belirli harici alanlardan gelen sohbet isteklerine izin vermektir. Bu, tüm güvenilir harici etki alanlarının bir BT yöneticisi tarafından beyaz listeye alınması gerektiği anlamına geldiğinden, bazı ortamlarda sorun yaratabilir.
Malwarebytes indirilen dosyaları barındıran C2 sunucusunu engellediği için Malwarebytes müşterileri bu saldırıya karşı korunmaktadır. Malwarebytes, LNK dosyasını ve komut dosyalarını Trojan.DarkGate olarak algılar.
Malwarebytes 5.188.87.58’i engelliyor
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.