DarkGate Kötü Amaçlı Yazılımı, Sıfır Gün Saldırısında Yakın Zamanda Yamalanan Microsoft Kusurundan Yararlandı
Ocak 2024'ün ortalarında gözlemlenen bir DarkGate kötü amaçlı yazılım kampanyası, sahte yazılım yükleyicileri kullanarak Microsoft Windows'ta yakın zamanda yamalanmış bir güvenlik açığından sıfırıncı gün olarak yararlandı.
Trend Micro, "Bu kampanya sırasında kullanıcılar, Google DoubleClick Dijital Pazarlama (DDM) açık yönlendirmeleri içeren PDF'ler kullanılarak cezbedildi ve bu da şüphelenmeyen kurbanları Microsoft Windows SmartScreen atlama CVE-2024-21412'yi barındıran ve kötü niyetli Microsoft (.MSI) yükleyicilerine yol açan güvenliği ihlal edilmiş sitelere yönlendirdi" dedi.
CVE-2024-21412 (CVSS puanı: 8.1), kimliği doğrulanmamış bir saldırganın kurbanı özel hazırlanmış bir dosyaya tıklaması için kandırarak SmartScreen korumalarını atlatmasına izin veren bir internet kısayol dosyaları güvenlik özelliği atlama güvenlik açığıyla ilgilidir.
Microsoft tarafından Şubat 2024 için Salı Yaması güncellemelerinin bir parçası olarak düzeltildi, ancak finansal kurumları hedef alan saldırılarda DarkMe kötü amaçlı yazılımını dağıtmak için Water Hydra (diğer adıyla DarkCasino) adlı bir tehdit aktörü tarafından silahlandırılmadan önce değil.
Trend Micro'nun en son bulguları, güvenlik açığının daha önce düşünülenden daha geniş bir istismara maruz kaldığını ve DarkGate kampanyasının kötü amaçlı yazılımı çoğaltmak için Google Ads'den gelen açık yönlendirmelerle birlikte bundan yararlandığını gösteriyor.
Gelişmiş saldırı zinciri, kurbanların bir kimlik avı e-postası yoluyla gönderilen bir PDF ekine gömülü bir bağlantıya tıklamasıyla başlar. Bağlantı, Google'ın çift tıklamasından açık bir yönlendirme dağıtır[.] net etki alanını kötü amaçlı bir web sunucusuna barındıran güvenliği ihlal edilmiş bir web sunucusuna. CVE-2024-21412'den yararlanan URL internet kısayol dosyası.
Özellikle, açık yönlendirmeler, kullanıcıların şifresini çözen ve DarkGate (sürüm 6.1.7) ile enfekte eden yandan yüklemeli bir DLL dosyasıyla donatılmış olarak gelen Apple iTunes, Notion, NVIDIA gibi meşru yazılım gibi görünen sahte Microsoft yazılım yükleyicilerini (.MSI) dağıtmak için tasarlanmıştır.
Windows SmartScreen'de (CVE-2023-36025, CVSS puanı: 8.8) artık düzeltilmiş başka bir atlama kusurunun tehdit aktörleri tarafından son birkaç ay içinde DarkGate, Phemedrone Stealer ve Mspadu'yu sunmak için kullanıldığını belirtmekte fayda var.
Google Ads teknolojilerinin kötüye kullanılması, tehdit aktörlerinin belirli kitleler için uyarlanmış farklı reklam kampanyaları aracılığıyla saldırılarının erişimini ve ölçeğini artırmasına olanak tanır.
Güvenlik araştırmacıları Peter Girnus, Aliakbar Zahravi ve Simon Zuckerbraun, "Açık yönlendirmelerle birlikte sahte yazılım yükleyicileri kullanmak güçlü bir kombinasyondur ve birçok enfeksiyona yol açabilir" dedi. "Uyanık kalmak ve kullanıcılara resmi kanalların dışında aldıkları herhangi bir yazılım yükleyicisine güvenmemeleri talimatını vermek çok önemlidir."
Gelişme, AhnLab Güvenlik İstihbarat Merkezi (ASEC) ve eSentire'ın Adobe Reader, Notion ve Synaptics için sahte yükleyicilerin, LummaC2 ve XRed arka kapısı gibi bilgi hırsızlarını dağıtmak için sahte PDF dosyaları ve görünüşte meşru web siteleri aracılığıyla dağıtıldığını ortaya çıkarmasıyla geldi.
Ayrıca Planet Stealer, Rage Stealer (xStealer olarak da bilinir) ve Tweaks (Tweaker olarak da bilinir) gibi yeni hırsız kötü amaçlı yazılım ailelerinin keşfini takip ederek, güvenliği ihlal edilmiş ana bilgisayarlardan hassas bilgileri toplayabilen çok sayıda siber tehdide katkıda bulunur.
Zscaler ThreatLabz, "Saldırganlar, Roblox kullanıcılarına Tweaks dağıtmak için YouTube ve Discord gibi popüler platformlardan yararlanıyor ve meşru platformların genellikle bilinen kötü amaçlı sunucuları engelleyen web filtresi engelleme listeleri tarafından tespit edilmekten kaçınma yeteneğinden yararlanıyor" dedi.
"Saldırganlar, Saniyedeki Kare Sayısı (FPS) optimizasyon paketleri kılığına girmiş kötü amaçlı dosyaları kullanıcılarla paylaşıyor ve karşılığında kullanıcılar kendi sistemlerine Tweaks kötü amaçlı yazılımı bulaştırıyor."
PowerShell tabanlı hırsız, kullanıcı bilgileri, konum, Wi-Fi profilleri, parolalar, Roblox kimlikleri ve oyun içi para birimi ayrıntıları dahil olmak üzere hassas verileri bir Discord web kancası aracılığıyla saldırgan tarafından kontrol edilen bir sunucuya sızdırmak için donatılmıştır.
Kötü amaçlı reklam ve sosyal mühendislik kampanyalarının, Agent Tesla, CyberGate RAT, Fenix botnet, Matanbuchus, NarniaRAT, Remcos RAT, Rhadamanthys, SapphireStealer ve zgRAT gibi çok çeşitli hırsız ve uzaktan erişim truva atlarını yaymak için ilk erişim vektörü olarak hareket ettiği de gözlemlendi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı