.png)
DarkGate ve PikaBot Kötü Amaçlı Yazılımı, Yeni Kimlik Avı Saldırılarında QakBot'un Taktiklerini Diriltiyor
DarkGate ve PikaBot gibi kötü amaçlı yazılım aileleri sunan kimlik avı kampanyaları, daha önce saldırılarda kullanılan taktiklerin aynısını izliyor ve artık kullanılmayan QakBot truva atından yararlanıyor.
Cofense, paylaşılan bir raporda, "Bunlar, ilk enfeksiyon olarak ele geçirilen e-posta dizilerini, kullanıcı erişimini sınırlayan benzersiz desenlere sahip URL'leri ve QakBot teslimatında gördüğümüzle neredeyse aynı olan bir enfeksiyon zincirini içeriyor" dedi.
"Kullanılan kötü amaçlı yazılım aileleri de QakBot iştiraklerinin kullanmasını beklediğimiz şeyi takip ediyor."
QBot ve Pinkslipbot olarak da adlandırılan QakBot, bu Ağustos ayının başlarında Ördek Avı Operasyonu kod adlı koordineli bir kolluk kuvveti çabasının parçası olarak kapatıldı.
Bu kampanyalarda DarkGate ve PikaBot'un kullanılması şaşırtıcı değil, çünkü her ikisi de güvenliği ihlal edilmiş ana bilgisayarlara ek yükler sağlamak için kanal görevi görebilir ve bu da onları siber suçlular için çekici bir seçenek haline getirir.
PikaBot'un QakBot ile paralellikleri daha önce Zscaler tarafından Mayıs 2023'te kötü amaçlı yazılım analizinde vurgulanmış ve "dağıtım yöntemleri, kampanyalar ve kötü amaçlı yazılım davranışları" açısından benzerliklere dikkat çekilmişti.
.png)
DarkGate, kendi adına, tuş vuruşlarını kaydetme, PowerShell'i yürütme ve operatörlerinin virüslü bir ana bilgisayara uzaktan komuta etmesine olanak tanıyan bir ters kabuk uygulama yeteneklerinin yanı sıra antivirüs sistemleri tarafından tespit edilmekten kaçınmak için gelişmiş teknikler içerir.
Sekoia, kötü amaçlı yazılımın yeni bir teknik raporunda, "Bağlantı çift yönlüdür, yani saldırganlar gerçek zamanlı olarak komutlar gönderebilir ve yanıtlar alabilir, bu da kurbanın sisteminde gezinmelerine, veri sızdırmalarına veya diğer kötü amaçlı eylemleri gerçekleştirmelerine olanak tanır" dedi.
Cofense'in yüksek hacimli kimlik avı kampanyasına ilişkin analizi, saldırı zincirlerinin ele geçirilen e-posta dizilerindeki bir ZIP arşivine işaret eden bubi tuzaklı bir URL'yi yaymasıyla çok çeşitli sektörleri hedeflediğini gösteriyor.
ZIP arşivi, DarkGate veya PikaBot kötü amaçlı yazılımını indirmek ve çalıştırmak için ikinci bir URL ile iletişim kuran bir JavaScript damlalığı içerir.
Saldırıların kayda değer bir varyantının, son yükleri teslim etmek için JavaScript damlalıkları yerine Excel eklentisi (XLL) dosyalarından yararlandığı gözlemlendi.
Cofense, "Başarılı bir DarkGate veya PikaBot enfeksiyonu, gelişmiş kripto madenciliği yazılımının, keşif araçlarının, fidye yazılımlarının veya tehdit aktörlerinin bir kurbanın makinesine yüklemek istediği diğer kötü amaçlı dosyaların teslim edilmesine yol açabilir" dedi.
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı