Trend Micro, “Anlık mesajlaşma uygulamalarının kaynak hesaplarının nasıl ele geçirildiği belli değil, ancak bunun ya yer altı forumları aracılığıyla sızdırılan kimlik bilgileri ya da ana kuruluşun daha önceki bir ihlali yoluyla olduğu varsayılıyor exe) ve DarkGate kötü amaçlı yazılımını başlatmaktan sorumlu ilgili AutoIT komut dosyasını getirmek için bir kanal görevi görür Ayrıca Remcos RAT gibi ek yüklerin indiricisi olarak da işlev görür ”
siber-2
Microsoft Teams sohbet mesajının DarkGate için bir yayılım vektörü olarak kullanımı daha önce Truesec tarafından geçen ayın başlarında vurgulanmıştı ve bu da bunun birçok tehdit aktörü tarafından kullanılmasının muhtemel olduğunu gösteriyordu
Skype ve Teams’in kötüye kullanıldığı genel enfeksiyon prosedürü, ilk erişim yolundaki değişiklik dışında Telekom Security tarafından Ağustos 2023’ün sonlarında bildirilen bir malspam kampanyasına çok benziyor
Araştırmacılar, “Siber suçlular bu verileri sistemlere bilgi hırsızları, fidye yazılımları, kötü amaçlı ve/veya kötüye kullanılan uzaktan yönetim araçları ve kripto para madencileri dahil olmak üzere çeşitli kötü amaçlı yazılım türleri bulaştırmak için kullanabilir” dedi
Bu saldırılarda mesajlaşma uygulamaları, Visual Basic for Applications (VBA) PDF belgesi gibi görünen ve açıldığında kötü amaçlı yazılımı başlatmak için tasarlanmış bir AutoIt betiğinin indirilmesini ve yürütülmesini tetikleyen yükleyici komut dosyası
Alternatif bir saldırı dizisi, saldırganların, AutoIt3
Trend Micro araştırmacıları Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh ve David Walsh, “Tehdit aktörü, alıcıyı ekteki VBA komut dosyasını çalıştırması için kandırmak amacıyla iki kuruluş arasındaki güvenilir ilişkiyi kötüye kullandı” dedi
13 Ekim 2023Haber odasıKötü Amaçlı Yazılım / Siber Tehdit
Olarak bilinen bir kötü amaçlı yazılım parçası Karanlık Kapı Skype ve Microsoft Teams gibi anlık mesajlaşma platformları aracılığıyla yayıldığı gözlemlendi
Trend Micro’ya göre saldırıların çoğunluğu Amerika kıtasında tespit edildi ve bunu Asya, Orta Doğu ve Afrika takip etti ”
VBA komut dosyası, meşru AutoIt uygulamasını (AutoIt3
İlk olarak Kasım 2018’de Fortinet tarafından belgelenen DarkGate, web tarayıcılarından hassas verileri toplamak, kripto para madenciliği yapmak ve operatörlerinin virüslü ana bilgisayarları uzaktan kontrol etmesine olanak tanıyan çok çeşitli özellikleri bünyesinde barındıran ticari bir kötü amaçlı yazılımdır
Kötü amaçlı yazılımı dağıtan sosyal mühendislik kampanyaları, farkında olmayan kullanıcıları yazılımı yüklemeye ikna etmek için kimlik avı e-postaları ve arama motoru optimizasyonu (SEO) zehirlenmesi gibi ilk giriş taktiklerinden yararlanarak son aylarda bir artışa tanık oldu
“Kurbanın Skype hesabına erişim, aktörün mevcut bir mesajlaşma dizisini ele geçirmesine ve dosyaların adlandırma kuralını sohbet geçmişinin bağlamıyla ilişkilendirecek şekilde oluşturmasına olanak sağladı
“Harici mesajlaşmaya izin verildiği sürece veya güvenilir ilişkilerin güvenliği ihlal edilmiş hesaplar yoluyla kötüye kullanılması kontrol edilmediği sürece, bu ilk giriş tekniği herhangi bir anlık mesajlaşma (IM) uygulamasına yapılabilir
Artış, kötü amaçlı yazılım yazarının kötü amaçlı yazılımı yer altı forumlarında tanıtma ve onu yıllarca özel olarak kullandıktan sonra kötü amaçlı yazılım hizmet olarak diğer tehdit aktörlerine kiralama kararının ardından geldi ” söz konusu Perşembe günü yayınlanan yeni bir analizde exe’yi ve DarkGate yapıtını almak için bir VBA komut dosyası çalıştırmak üzere tasarlanmış bir LNK dosyası içeren bir ZIP arşiv eki içeren bir Microsoft Teams mesajı göndermesini içerir