Kimlik avı saldırganları, kullanıcıları doğrudan kodu yapıştırıp yürütmeye yönlendirerek istismar etmek için tasarlanmış kodlar içeren kötü amaçlı HTML dosyalarını e-posta ekleri olarak dağıtıyor; bu, sosyal mühendislikten yararlanıyor; kullanıcılar, kötü amaçlı kodu savunmasız bir uygulamaya yapıştırarak kendilerini çalıştırmaları için kandırılıyor. .
Kimlik avı kampanyası, meşru Microsoft Word belgeleri gibi görünen kötü amaçlı HTML ekleri içeren, aciliyet duygusunu tetikleyen e-posta konularını (ör. ücret işleme, işlem talimatı incelemeleri) kullanarak sosyal mühendislik taktiklerini kullanır.
Eki açtıktan sonra kullanıcıya, görsel olarak bir Word belgesine benzeyen, genellikle “Nasıl Düzeltilir” veya benzeri bir düğme içeren ve sosyal mühendislik cazibesi görevi gören aldatıcı bir mesaj sunulur.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Bu düğmeye tıklamak, amaçlanan istismar vektörüdür ve muhtemelen kötü amaçlı yazılım indirme veya hassas verilerin sızması gibi kötü amaçlı etkinlikleri başlatır.
Kullanıcı “Nasıl Düzeltilir” seçeneğini tıkladığında kötü amaçlı bir JavaScript dosyası indirilir.
Dosya, Base64’ü kullanarak bir PowerShell komutunu kodlar ve ardından kullanıcıya bir klavye kısayolu kullanması (Win+R, CTRL+V, Enter) veya PowerShell’i açıp komutu manuel olarak çalıştırması talimatını verir.
Kullanıcı bu talimatları izledikten sonra JavaScript, Base64 kodlu komutun kodunu çözer, onu panoya yerleştirir ve PowerShell komutunu çalıştırarak kullanıcının sistemine zarar verme potansiyeline sahiptir.
Kötü amaçlı e-posta eki, Komuta ve Kontrol sunucusundan (C2) bir PowerShell betiğinin indirilmesini tetikler; bu, panoyu siler ve yine C2’den alınan başka bir PowerShell komutunu çalıştırır.
İlk PowerShell betiği, ikincisini çalıştırmadan önce bir HTA dosyası indirir ve bir ZIP dosyası içinde yürütülebilir yerleşik Autoit, enfeksiyon zincirini tamamlamak için derlenmiş bir Autoit betiği kullanır.
ASEC’e göre, DarkGate kötü amaçlı yazılımı, algılamayı atlamak ve kalıcılık oluşturmak için AutoIt komut dosyalarından yararlanıyor; bu da genellikle ana yükün daha fazla kaçırılması, indirilmesi ve çalıştırılması için gizlenir.
DarkGate’in çok aşamalı enfeksiyon süreci nedeniyle geleneksel imza tabanlı yöntemler başarısız olabilir.
Kullanıcılar, DarkGate bulaşması riskini azaltmak için, özellikle e-posta ekleri ve URL’ler gibi güvenilmeyen kaynaklardan gelen dosyaları kullanırken dikkatli olmalıdır.
Sistem, kimlik avı e-postaları (HTML.ClipBoard.SC199655), kötü amaçlı komut dosyaları (VBScript, PowerShell, HTA), truva atları (AU3.Agent) ve potansiyel kötü amaçlı PowerShell kodunun (MDP.Powershell.M2514) yürütülmesi dahil olmak üzere çok sayıda tehdit algıladı.
İndirilen dosyalar (header.png, qhsddxna, script.a3x, dark.hta, rdyjyany, script.a3x, 1.hta, umkglnks) şüpheli URL’lerden (hxxps://jenniferwelsh) alındı[.]com, hxxp://mylittlecabbage[.]net, hxxps://linktoxic34[.]com, hxxp://dogmupdate[.]com, hxxps://www.rockcreekdds[.]com, hxxp://flexiblemaria[.]com) potansiyel bir kimlik avı veya kötü amaçlı yazılım saldırısına işaret eder.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo