Oldukça gelişmiş bir stealer kötü amaçlı yazılım olan DarkCloud, 2022’deki çıkışından bu yana Windows Systems için önemli bir tehdit olarak ortaya çıktı.
Başlangıçta yeraltı forumları aracılığıyla çekiş kazanan kötü amaçlı yazılım artık telgrafta yaygın olarak satılıyor ve bu da onu dünya çapında siber suçlular için erişilebilir hale getiriyor.
DarkCloud, kimlik avı kampanyaları en yaygın olan çeşitli dağıtım tekniklerini kullanır.
Saldırganlar sıklıkla kötü niyetli yükleri faturalar veya para cezaları olarak gizler, İK departmanlarını ve şüpheli olmayan kullanıcıları hedefler.
Diğer yöntemler arasında kötü niyetli, sulama deliği saldırıları ve DBatloader veya Clipbanker gibi diğer kötü amaçlı yazılımlarla birlikte paketlenmesi sayılabilir.
Bir kez yürütüldüğünde, DarkCloud çok aşamalı bir enfeksiyon sürecini başlatır.
Mağdurlar genellikle PowerShell veya Jar gibi dillerde yazılmış yükleyiciler veya komut dosyaları içeren sıkıştırılmış dosyaları indirmek için kandırılır.
Bu komut dosyaları, şifreli kaynaklardan indirilen veya çıkarılan kötü amaçlı yazılımların bir sonraki aşamasını gizler.
Nihai yük doğrudan belleğe enjekte edilir, bu da tarayıcı verileri, FTP kimlik bilgileri ve hatta kredi kartı ayrıntıları gibi hassas bilgileri çalırken kötü amaçlı yazılımların algılamadan kaçınmasını sağlar.
Teknik yetenekler ve kalıcılık mekanizmaları
DarkCloud’un teknik sofistike olması, gizli korurken karmaşık görevleri yerine getirme yeteneğinde belirgindir.
Kötü amaçlı yazılım, başlangıç komut dosyaları oluşturma, kayıt defteri anahtarlarını değiştirme ve zamanlama görevleri dahil olmak üzere çeşitli kalıcılık mekanizmaları kullanır.
Örneğin, başlangıç dizinlerinde gizlenmiş VBS dosyaları oluşturabilir veya kendisini gibi meşru süreçlere enjekte edebilir svchost veya .NET yürütülebilir ürünler.
Rapora göre, bu, sistem yeniden başlatıldıktan sonra bile kötü amaçlı yazılımların aktif kalmasını sağlar.
Stealer’ın yetenekleri veri hırsızlığının ötesine uzanır.
Keylogger olarak işlev görür, ekran görüntüleri yakalar ve çalışma işlemlerini izler.
Ayrıca, web tarayıcıları (Chrome, Firefox), e -posta istemcileri (Outlook) ve şifre yöneticileri dahil olmak üzere çok çeşitli uygulamaları hedefler.
Sistem yollarını ve kayıt defteri girişlerini sorgulayarak DarkCloud, giriş bilgilerini, e -posta yapılandırmalarını ve kurbanın makinesinde depolanan diğer hassas verileri toplar.
Komut ve kontrol için telgraf entegrasyonu
DarkCloud’un dikkate değer bir özelliği, komut ve kontrol (C2) işlemleri için telgrafla entegrasyonudur.
Kötü amaçlı yazılım, çalınan verileri dışarı atmak ve saldırganlardan komut almak için telgraf botları ile iletişim kurar.
Bu yaklaşım sadece siber suçlular için konuşlandırmayı basitleştirmekle kalmaz, aynı zamanda meşru iletişim kanallarının kullanımı nedeniyle güvenlik araçları tarafından tespiti de karmaşıklaştırır.
Darkcloud’un evrimi, siber suç ekosistemindeki stealer kötü amaçlı yazılımların artan karmaşıklığını vurgular.
Telegram’daki yaygın kullanılabilirliği, kuruluşların kimlik avı saldırılarına karşı savunmalarını güçlendirme ve bu tür tehditleri etkili bir şekilde azaltmak için sağlam uç nokta güvenlik önlemleri uygulama ihtiyacının altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!