içeren siber saldırılar Karanlık Kapı Hizmet olarak kötü amaçlı yazılım (MaaS) operasyonu, son aşamaları gerçekleştirmek için AutoIt komut dosyalarından AutoHotkey mekanizmasına geçti; bu da tehdit aktörlerinin sürekli olarak tespit eğrisinin ilerisinde kalma yönündeki çabalarının altını çiziyor.
Güncellemeler, programı 30’a kadar müşteriye abonelik temelinde satan geliştiricisi RastaFarEye tarafından Mart 2024’te yayınlanan DarkGate’in 6. sürümünde gözlemlendi. Kötü amaçlı yazılım en az 2018’den beri aktif.
Tam özellikli bir uzaktan erişim truva atı (RAT) olan DarkGate, komut ve kontrol (C2) ve rootkit yetenekleriyle donatılmıştır ve kimlik bilgisi hırsızlığı, tuş kaydı, ekran yakalama ve uzak masaüstü için çeşitli modüller içerir.
Trellix güvenlik araştırmacısı Ernesto Fernández Provecho, “DarkGate kampanyaları, güvenlik çözümlerinden uzak durmaya çalışmak için farklı bileşenleri değiştirerek gerçekten hızlı adapte olma eğilimindedir.” söz konusu Pazartesi analizinde. “DarkGate’i ilk kez DarkGate’i başlatmak için pek yaygın olmayan bir komut dosyası yorumlayıcısı olan AutoHotKey’i kullanarak buluyoruz.”
DarkGate’in AutoHotKey’e geçişinin şu şekilde olduğunu belirtmekte fayda var: ilk belgelenen McAfee Labs tarafından Nisan 2024’ün sonlarında, saldırı zincirleri CVE-2023-36025 ve CVE-2024-21412 gibi güvenlik kusurlarından yararlanarak atladı Microsoft Defender SmartScreen Kimlik avı e-postalarında Microsoft Excel veya HTML eki kullanarak koruma sağlar.
Sonunda bir AutoHotKey betiğini başlatmak için PowerShell komutlarını çağırmaktan sorumlu olan bir Visual Basic Betiği dosyasını yürütmek için gömülü makrolara sahip Excel dosyalarından bir kanal olarak yararlanmak için alternatif yöntemler bulunmuştur; bu, daha sonra DarkGate yükünü bir metin dosyasından alır ve kodunu çözer. .
DarkGate’in en son sürümü, konfigürasyonunda, kaçınma tekniklerinde ve artık ses kaydı, fare kontrolü ve klavye yönetimi özelliklerini içeren desteklenen komutlar listesinde önemli yükseltmeler içeriyor.
Fernández Provecho, “Sürüm 6 yalnızca yeni komutlar içermekle kalmıyor, aynı zamanda ayrıcalık yükseltme, kripto madenciliği veya hVNC (Gizli Sanal Ağ Bilgi İşlem) komutları gibi önceki sürümlerdeki bazı komutlardan da yoksun” dedi ve bunun bir çaba olabileceğini ekledi. Algılamayı etkinleştirebilecek özellikleri kesin.
“Ayrıca DarkGate küçük bir grup insana satıldığı için müşterilerin bu özelliklerle ilgilenmemesi ve RastaFarEye’ı bunları kaldırmaya zorlaması da mümkündür.”
Açıklama, siber suçluların Docusign’ı yer altı forumlarında yasal görünümlü özelleştirilebilir kimlik avı şablonları satarak kötüye kullandıklarının tespit edilmesiyle birlikte geldi; bu hizmet, kimlik avı ve iş e-postası ihlali (BEC) dolandırıcılığı için kimlik bilgilerini çalmak isteyen kimlik avcıları için verimli bir zemine dönüştü.
Anormal Security, “Meşru belge imzalama isteklerini taklit etmek için titizlikle tasarlanan bu sahte e-postalar, şüphelenmeyen alıcıları kötü amaçlı bağlantılara tıklamaya veya hassas bilgileri ifşa etmeye teşvik ediyor” dedi. söz konusu.