Siber Muhbir

DarkGate olarak bilinen bir kötü amaçlı yazılımın Skype ve Microsoft Teams gibi anlık mesajlaşma platformları aracılığıyla yayıldığı gözlemlendi.

Bu saldırılarda, mesajlaşma uygulamaları, açıldığında kötü amaçlı yazılımı başlatmak için tasarlanmış bir AutoIt komut dosyasının indirilmesini ve yürütülmesini tetikleyen bir PDF belgesi gibi görünen bir Visual Basic for Applications (VBA) yükleyici komut dosyası sunmak için kullanılır.

Trend Micro, Perşembe günü yayınlanan yeni bir analizde, "Anlık mesajlaşma uygulamalarının kaynak hesaplarının nasıl ele geçirildiği belli değil, ancak bunun ya yeraltı forumlarında bulunan sızdırılmış kimlik bilgileri ya da ana kuruluşun önceki güvenliği nedeniyle olduğu varsayılıyor" dedi.

İlk olarak Kasım 2018'de Fortinet tarafından belgelenen DarkGate, web tarayıcılarından hassas verileri toplamak, kripto para madenciliği yapmak ve operatörlerinin virüslü ana bilgisayarları uzaktan kontrol etmesine izin vermek için çok çeşitli özellikler içeren bir emtia kötü amaçlı yazılımıdır. Ayrıca Remcos RAT gibi ek yüklerin indiricisi olarak da işlev görür.

Kötü amaçlı yazılımı dağıtan sosyal mühendislik kampanyaları, son aylarda bir artışa tanık oldu ve farkında olmayan kullanıcıları onu yüklemeye ikna etmek için kimlik avı e-postaları ve arama motoru optimizasyonu (SEO) zehirlenmesi gibi ilk giriş taktiklerinden yararlandı.

Artış, kötü amaçlı yazılım yazarının kötü amaçlı yazılımın yeraltı forumlarında reklamını yapma ve yıllarca özel olarak kullandıktan sonra diğer tehdit aktörlerine hizmet olarak kötü amaçlı yazılım bazında kiralama kararını takip ediyor.

Microsoft Teams sohbet mesajının DarkGate için bir yayılma vektörü olarak kullanılması, daha önce geçen ayın başlarında Truesec tarafından vurgulanmıştı ve bu da muhtemelen birkaç tehdit aktörü tarafından kullanıldığını gösteriyordu.

Trend Micro'ya göre saldırıların çoğu Amerika'da tespit edildi ve bunu Asya, Orta Doğu ve Afrika izledi.

Skype ve Teams'i kötüye kullanan genel enfeksiyon prosedürü, ilk erişim yolundaki değişiklik dışında, Ağustos 2023'ün sonlarında Telekom Security tarafından bildirilen bir kötü amaçlı spam kampanyasına çok benziyor.

Trend Micro araştırmacıları Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh ve David Walsh, "Tehdit aktörü, alıcıyı ekli VBA komut dosyasını yürütmesi için kandırmak için iki kuruluş arasındaki güvenilir bir ilişkiyi kötüye kullandı" dedi.

"Kurbanın Skype hesabına erişim, aktörün mevcut bir mesajlaşma dizisini ele geçirmesine ve sohbet geçmişinin bağlamıyla ilgili olarak dosyaların adlandırma kuralını oluşturmasına izin verdi."

VBA komut dosyası, meşru AutoIt uygulamasını (AutoIt3.exe) ve DarkGate kötü amaçlı yazılımını başlatmaktan sorumlu ilişkili bir AutoIT komut dosyasını getirmek için bir kanal görevi görür.

Alternatif bir saldırı dizisi, saldırganların, AutoIt3.exe ve DarkGate yapıtını almak için bir VBA komut dosyası çalıştırmak üzere tasarlanmış bir LNK dosyası taşıyan bir ZIP arşiv eki içeren bir Microsoft Teams mesajı göndermesini içerir.

Araştırmacılar, "Siber suçlular bu yükleri, bilgi hırsızları, fidye yazılımları, kötü amaçlı ve/veya kötüye kullanılan uzaktan yönetim araçları ve kripto para madencileri dahil olmak üzere çeşitli kötü amaçlı yazılım türlerini sistemlere bulaştırmak için kullanabilir" dedi.

"Harici mesajlaşmaya izin verildiği veya güvenliği ihlal edilmiş hesaplar aracılığıyla güvenilir ilişkilerin kötüye kullanılması denetlenmediği sürece, ilk giriş için bu teknik herhangi bir anlık mesajlaşma (IM) uygulamasına ve bu uygulamalarla yapılabilir."