DarkGate Kötü Amaçlı Yazılımı

DarkGate olarak bilinen, kolayca bulunabilen bir kötü amaçlı yazılımı kullanan bir malspam kampanyası gün ışığına çıkarıldı. Siber güvenlik araştırmacıları, DarkGate kötü amaçlı yazılım etkinliğindeki artışın muhtemelen kötü amaçlı yazılım geliştiricisinin yakın zamanda onu seçilmiş bir grup siber suç ortağına kiralama teklif etme kararından kaynaklandığını öne sürüyor. Bu tehdidin dağıtımı aynı zamanda, alıcıları bilmeden kötü amaçlı yazılım indirmeleri konusunda kandırmak için güvenliği ihlal edilmiş e-posta dizilerinden yararlanan büyük ölçekli bir kampanyayla da ilişkilendirilmiştir.

DarkGate Kötü Amaçlı Yazılımı Çok Aşamalı Bir Saldırı Süreciyle Sağlanıyor

Saldırı, kurbanı, tıklandığında bir trafik yönlendirme sisteminden (TDS) geçen bir kimlik avı URL'sine yönlendirerek başlıyor. Amaç, şüphelenmeyen kurbanları belirli koşullar altında bir MSI yüküne yönlendirmektir. Bu koşullardan biri, HTTP yanıtında bir yenileme başlığının bulunmasıdır.

MSI dosyasının açılmasıyla birlikte çok aşamalı bir süreç tetiklenir. Bu süreç, DarkGate tehdidinin şifresini çözmek ve bir şifreleyici veya yükleyici aracılığıyla başlatmak için bir araç olarak hizmet veren kabuk kodunu yürütmek için bir AutoIt betiğinin kullanılmasını içerir. Daha kesin olmak gerekirse, yükleyici AutoIt betiğini analiz edecek ve ondan şifrelenmiş veriyi çıkaracak şekilde programlanmıştır.

Bu saldırıların alternatif bir versiyonu da gözlemlendi. MSI dosyası yerine, hem AutoIt yürütülebilir dosyasını hem de komut dosyasını almak için cURL kullanan bir Visual Basic Komut Dosyası kullanılır. VB Komut Dosyasını sunmak için kullanılan kesin yöntem şu anda bilinmiyor.

DarkGate, İhlal Edilen Cihazlarda Çok Sayıda Zararlı Eylem Gerçekleştirebilir

DarkGate, güvenlik yazılımı tarafından tespit edilmekten kaçınmasına, Windows Kayıt Defteri değişiklikleri yoluyla kalıcılık sağlamasına, ayrıcalıkları yükseltmesine ve web tarayıcılarından ve Discord ve FileZilla gibi yazılım platformlarından veri çalmasına olanak tanıyan bir dizi özelliğe sahiptir.

Ayrıca, bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurarak dosya numaralandırma, veri çıkarma, kripto para madenciliği işlemlerinin başlatılması, uzaktan ekran görüntüsü yakalama ve çeşitli komutların yürütülmesi gibi eylemleri mümkün kılar.

Bu tehdit öncelikle yeraltı forumlarında bir abonelik modeli altında pazarlanmaktadır. Sunulan fiyat noktaları günlük 1.000 ABD Doları'ndan ayda 15.000 ABD Doları'na ve hatta yıllık 100.000 ABD Doları'na kadar değişmektedir. Kötü amaçlı yazılımın yaratıcısı, onu "kalem testçileri/kırmızı takım uzmanları için en iyi araç" olarak tanıtıyor ve sözde başka hiçbir yerde bulunmayan ayrıcalıklı özelliklerini vurguluyor. İlginç bir şekilde, siber güvenlik araştırmacıları DarkGate'in fidye yazılımı modülünü de içeren daha önceki sürümlerini keşfettiler.

Kimlik Avı Saldırılarında Kullanılan Hilelere Kanmayın

Kimlik avı saldırıları, hırsızlar, truva atları ve kötü amaçlı yazılım yükleyicileri de dahil olmak üzere çeşitli kötü amaçlı yazılım tehditleri için birincil dağıtım yoludur. Bu tür kimlik avı girişimlerini tanımak, güvende kalmak ve cihazlarınızı tehlikeli güvenlik veya gizlilik risklerine maruz bırakmamak için çok önemlidir. Dikkat edilmesi gereken bazı tipik tehlike işaretleri şunlardır:

• • Şüpheli Gönderen Adresi : Gönderenin e-posta adresini dikkatlice kontrol edin. Yazım hataları, fazladan karakterler içeriyorsa veya ait olduğunu iddia ettiği kuruluşun resmi alan adıyla eşleşmiyorsa dikkatli olun.

• • Belirtilmemiş Selamlamalar : Kimlik avı e-postaları, size adınızla hitap etmek yerine genellikle 'Sayın Kullanıcı' gibi genel selamlamalar kullanır. Meşru kuruluşlar genellikle iletişimlerini kişiselleştirir.

• • Acil veya Tehdit Eden Dil : Kimlik avı e-postaları, acil eyleme geçmeyi teşvik edecek bir aciliyet veya korku duygusu yaratma eğilimindedir. Hesabınızın askıya alındığını iddia edebilirler veya hızlı hareket etmezseniz sonuçlarla karşılaşacaksınız.

• • Kişisel Bilgilere İlişkin Olağandışı Talepler : Şifreler, Sosyal Güvenlik numaraları veya kredi kartı bilgileri gibi hassas bilgileri isteyen e-postalara karşı dikkatli olun. Meşru kuruluşlar bu tür bilgileri e-posta yoluyla istemez.

• • Olağandışı Ekler : Bilinmeyen gönderenlerden gelen ekleri açmayın. Kötü amaçlı yazılım içerebilirler. Ek tanıdık gelse bile beklenmedikse veya sizi hemen harekete geçmeye zorluyorsa dikkatli olun.

• • Gerçek Olamayacak Kadar İyi Teklifler : Kimlik avı e-postaları, sizi kötü amaçlı bağlantılara tıklamaya veya kişisel bilgilerinizi sağlamaya teşvik etmeyi amaçlayan inanılmaz ödüller, ödüller veya teklifler vaat edebilir.

• • Beklenmeyen Bağlantılar : Beklenmedik bir şekilde bağlantı içeren e-postalara karşı dikkatli olun. Tıklamak yerine resmi web sitesinin adresini tarayıcınıza manuel olarak yazın.

• • Duygusal Manipülasyon : Kimlik avı e-postaları, bağlantılara erişmenizi veya ekleri indirmenizi sağlamak için merak, sempati veya heyecan gibi duyguları uyandırmaya çalışabilir.

• • İletişim Bilgilerinin Eksikliği : Meşru kuruluşlar genellikle iletişim bilgilerini sağlar. Bir e-postada bu bilgiler eksikse veya yalnızca genel bir e-posta adresi veriliyorsa dikkatli olun.

Dikkatli olmak ve kendinizi bu tehlike işaretleri konusunda eğitmek, kimlik avı girişimlerinden korunmada uzun bir yol kat edebilir. Şüphe uyandıran bir e-posta alırsanız herhangi bir işlem yapmadan önce resmi kanallar aracılığıyla e-postanın meşruiyetini doğrulamanız daha iyi olur.