Ne bilmek istiyorsun
- Bilgisayar korsanları, Microsoft Teams hesaplarını ele geçirmek için ‘DarkGate Loader’ adı verilen yeni bir kimlik avı kampanyasından yararlanıyor.
- Bu teknik, şüphelenmeyen kullanıcıları ” işaretli .ZIP dosyalarını indirip açmaya yönlendirmek için tasarlanmıştır.Tatil programında değişiklik‘ cihazlarına.
- Gizli indirme işlemi Windows cURL’yi kullanır ve önceden derlenmiş komut dosyası, kod gizli olduğundan kötü amaçlı yazılımın tespit edilmesini zorlaştırır.
Bilgisayar korsanları, şüphelenmeyen kullanıcıları kötü niyetli saldırılarına çekmek ve kandırmak için karmaşık tekniklerden yararlanıyor. Ağustos ayının sonlarına doğru, Truesec’in araştırma ekibi yeni bir süreci araştırmaya başladı ‘DarkGate Yükleyici’ olarak adlandırıldı.
Bu kimlik avı kampanyası, Microsoft Teams kullanıcılarına görünüşte zararsız mesajlar gönderiyor. Bilgisayar korsanları, şüpheli olmayan kullanıcılara, ‘ işaretli ZIP dosyalarını indirmeleri ve açmaları için kandırmak amacıyla zararlı ekler içeren mesajlar göndermek için ele geçirilen Office 365 hesaplarını kullandı.Tatil programında değişiklikler.‘
Bu ZIP dosyasına tıklamanın, aşağıdakileri içeren bir SharePoint URL’sinden otomatik olarak bir indirme işlemi başlatacağını unutmayın: PDF belgesi olarak gizlenen LNK dosyası (aracılığıyla TechRadar.)
Trusec, bilgisayar korsanları tarafından kullanılan ele geçirilen hesapların altını çizdi: “Akkaravit Tattamanas” ([email protected]) ve “ABNER DAVID RIVERA ROJAS” ([email protected]), LNK dosyası içinde gizlenen kötü amaçlı VBScript’i gönderiyor bu da DarkGate Loader olarak bilinen kötü amaçlı yazılımı dağıtır.
Bilgisayar korsanlarının kullandığı karmaşık kampanya, ZIP dosyalarının indirilme işleminde SharePoint URL’sinin kullanılması nedeniyle kullanıcıların kötü niyetli eylemleri tespit etmesini son derece zorlaştırıyor. Üstelik önceden derlenmiş komut dosyası, kod dosyanın ortasında gizlendiğinden kötü amaçlı yazılımın tespit edilmesini zorlaştırır.
Araştırma firmasına göre komut dosyası, hedef kullanıcının uç noktasında popüler bir antivirüs olan Sophos’un yüklü olup olmadığını da belirleyebiliyor. Eğer yüklü değilse, ek kodun maskesi kaldırılıyor ve “yığılmış dizeler” adı verilen bir teknikten yararlanan kabuk kodu başlatılıyor. DarkGate yürütülebilir dosyasını oluşturmak ve onu sistem belleğine yüklemek için.
Bu saldırı, alıcıların güvenlik farkındalığı eğitimi nedeniyle tespit edildi. Maalesef Güvenli Ekler veya Güvenli Bağlantılar gibi mevcut Microsoft Teams güvenlik özellikleri bu saldırıyı tespit edemedi veya engelleyemedi. Şu anda, Microsoft Teams içindeki bu saldırı vektörünü önlemenin tek yolu, Microsoft Teams’in yalnızca belirli harici etki alanlarından gelen sohbet isteklerine izin vermektir; ancak tüm güvenilir dış etki alanlarının bir BT yöneticisi tarafından beyaz listeye alınması gerektiğinden bunun iş açısından sonuçları olabilir.
Trusec Araştırma Ekibi
Midnight Blizzard adlı bir grup Rus bilgisayar korsanı, geçtiğimiz günlerde Ağustos ayında 40’tan az kuruluşu etkileyen yeni bir istismardan yararlandığı için Teams ile ilgili tek dolandırıcılık bu değil. Bilgisayar korsanları, teknik destek varlıkları olduğu iddia edilen yeni alanlar oluşturmak için daha önce küçük işletme sahiplerine ait Microsoft 365 kiracılarını ele geçirmişti. Ancak Microsoft o zamandan beri sorunu hafifletti ve şu anda saldırının etkisini araştırıyor.
Şimdilik beklenmedik iletilere karşı dikkatli olmanız ve bu virüslü dosyayı belirlerseniz yöneticinizi uyarmanız gerekir.