adlı kullanıma hazır bir kötü amaçlı yazılımın dağıtıldığı yeni bir malspam kampanyası gözlemlendi. Karanlık Kapı.
Telekom Security, “Kötü amaçlı yazılımın geliştiricisinin yakın zamanda kötü amaçlı yazılımı sınırlı sayıda bağlı kuruluşa kiralamaya başladığı gerçeği göz önüne alındığında, DarkGate kötü amaçlı yazılım etkinliğindeki mevcut artış makul.” söz konusu Geçen hafta yayınlanan bir raporda.
En son rapor oluşturuldu son bulgular Alıcıları kötü amaçlı yazılımı indirmeleri için kandırmak amacıyla ele geçirilen e-posta dizilerinden yararlanan “yüksek hacimli bir kampanya” hakkında ayrıntılı bilgi veren güvenlik araştırmacısı Igal Lytzki’den.
Saldırı, tıklandığında kurbanı belirli koşullara bağlı olarak bir MSI veri yüküne götürmek için bir trafik yönlendirme sisteminden (TDS) geçen bir kimlik avı URL’si ile başlar. Buna HTTP yanıtında bir yenileme başlığının varlığı da dahildir.
MSI dosyasını açmak, DarkGate’in şifresini çözmek ve bir şifreleyici (veya yükleyici) aracılığıyla başlatmak için bir kanal görevi gören kabuk kodunu yürütmek üzere bir AutoIt betiği içeren çok aşamalı bir işlemi tetikler.
Yükleyici özellikle AutoIt betiğini ayrıştırmak ve şifrelenmiş kötü amaçlı yazılım örneğini çıkarmak için tasarlanmıştır.
Saldırıların alternatif bir varyasyonu, MSI dosyası yerine Visual Basic Komut Dosyası kullanılarak gözlemlendi; MSI dosyası da AutoIt yürütülebilir dosyasını ve komut dosyasını almak için cURL’yi kullanıyor. VB Script’in teslim edildiği kesin yöntem şu anda bilinmiyor.
Çoğunlukla yeraltı forumlarında RastaFarEye adlı bir oyuncu tarafından satılan DarkGate, güvenlik yazılımı tarafından tespit edilmekten kaçınma, Windows Kayıt Defteri değişikliklerini kullanarak kalıcılık oluşturma, ayrıcalıkları yükseltme ve web tarayıcılarından ve Discord ve FileZilla gibi diğer yazılımlardan veri çalma yetenekleriyle birlikte geliyor.
Ayrıca dosyaları numaralandırmak, veri sızdırmak, kripto para birimi madencilerini başlatmak ve uzaktan ekran görüntüleri yakalamak ve diğer komutları çalıştırmak için bir komut ve kontrol (C2) sunucusuyla bağlantı kurar.
Kötü amaçlı yazılım, günlük 1.000 ABD Doları’ndan ayda 15.000 ABD Doları’na ve yılda 100.000 ABD Doları’na kadar bir abonelik olarak sunuluyor; yazar, bunun “pentestçiler/kırmızı ekip üyeleri için en iyi araç” olduğunu ve “hiçbir yerde bulamayacağınız özelliklere sahip olduğunu” ilan ediyor ” İlginç bir şekilde DarkGate’in önceki sürümleri de takılı geldi bir fidye yazılımı modülü ile.
Kimlik avı saldırıları bir birincil dağıtım yolu hırsızlar, truva atları ve kötü amaçlı yazılım yükleyicileri için KrakenKeyloggerQakBot, Rakun HırsızıSmokeLoader ve diğerleri gibi tehdit aktörleri, işlevlerini genişletmek için sürekli olarak yeni özellikler ve geliştirmeler ekliyor.
Bir göre son rapor HP Wolf Security tarafından yayınlanan rapora göre e-posta, uç noktalara kötü amaçlı yazılım dağıtmada en önemli vektör olmaya devam etti ve 2023’ün 2. çeyreğinde tanımlanan tehditlerin %79’unu oluşturdu.
