Netskope Threat Labs tarafından, SharePoint’in kötü şöhretli DarkGate kötü amaçlı yazılımı için dağıtım platformu olarak kullanılmasını içeren yeni bir siber saldırı dalgası keşfedildi.
Bu endişe verici trend, Microsoft Teams ve SharePoint’teki güvenlik açıklarından yararlanan ve çevrimiçi güvenlik açısından ciddi bir risk oluşturan bir saldırı kampanyasından kaynaklanıyor.
DarkGate: Çok Yönlü Bir Tehdit
MehCrypter olarak da bilinen DarkGate, siber güvenlik sahnesinde 2018 yılında ortaya çıktı.
O zamandan bu yana, HVNC (Gizli VNC), keylogging, bilgi hırsızlığı ve ek veri yüklerini indirme ve yürütme yeteneği gibi çok yönlü özellikleri nedeniyle siber suçlular arasında popüler bir seçim haline geldi.
Bu kötü amaçlı yazılım çeşidi, son birkaç ayda birden fazla kampanyaya dahil oldu ve bu da onu kalıcı ve gelişen bir tehdit haline getirdi.
Finansal hizmetler sektörünü hedef alan son siber saldırı dalgasıyla Siber Dayanıklılığınızı sağlayın. Katılımcıların neredeyse %60’ı bir siber saldırının ardından tamamen iyileşebileceklerinden emin değil.
Yerinizi Kaydedin
Enfeksiyon Yolu
Netskope Threat Labs tarafından tespit edilen son DarkGate çeşidi akıllı bir enfeksiyon yolu izliyor.
Her şey, PDF belgesi içeren sahte bir fatura gibi görünen kimlik avı e-postasıyla başlıyor.
PDF, açıldığında kullanıcıdan belgeyi incelemesini ister ve CAB dosyasının indirilmesini başlatır.
Bu dosyanın içinde, DarkGate’in sızmasının giriş noktası olan MSI dosyasının indirilmesine yol açan bir internet kısayolu bulunur.
MSI dosyası yürütüldüğünde karmaşık bir yükleme teknikleri zinciri tetiklenir.
DarkGate, DLL yan yükleme tekniklerini kullanır ve dbgeng.dll DLL dosyasının sahte bir sürümünü çalıştırarak varlığını gizler.
Delphi programlama dilinde yazılan bu DLL, kötü amaçlı yüklerin algılanmasını önlerken yürütülmesini kolaylaştırır.
Çoklu Kaçış Katmanları
Kötü amaçlı yazılımın kaçma teknikleri tek bir katmanla sınırlı değil.
DarkGate’in çok aşamalı yükleme süreci, AutoIt komut dosyalarının kullanımını içerir ve bu da niyetini daha da gizler.
Bu komut dosyaları bir PE (Taşınabilir Yürütülebilir) dosyası oluşturur, onu bir geri çağırma işlevi aracılığıyla yürütür ve işlemine başka bir karmaşıklık katmanı ekler.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.