Kaspersky’nin yeni raporu, DarkGate, Emotet ve LokiBot ziyanlı yazılım cinslerinin karmaşık bulaşma taktiklerini ortaya çıkardı. DarkGate’in eşsiz şifrelemesi ve Emotet’in güçlü geri dönüşü ortasında LokiBot istismarlarının devam etmesi, siber güvenlik ortamının daima değiştiğini gösteriyor.
Kaspersky araştırmacıları, Haziran 2023’te alışıldık fonksiyonelliğinin ötesine geçen yeni bir dizi özelliğe sahip DarkGate isimli yeni bir yükleyici keşfetti. Dikkat çeken özelliklerden kimileri ortasında bâtın VNC, Windows Defender’ı atlatma, tarayıcı geçmişini çalma, aksi proxy, belge idaresi ve Discord belirteci çalma üzere özellikler yer alıyor. DarkGate’in çalışma prensibi, DarkGate’in yüklenmesine yol açmak için karmaşık bir biçimde tasarlanmış dört etaptan oluşan bir zincir içeriyor. Bu yükleyiciyi başkalarından ayıran şey ise özel bir karakter seti kullanarak dizeleri şahsileştirilmiş anahtarlarla ve Base64 kodlamasının özel bir versiyonuyla şifrelemenin eşsiz bir yolunu bulmuş olması.
Kaspersky’nin araştırması ayrıyeten 2021’de kapatıldıktan sonra yine ortaya çıkan ünlü Emotet botnetinin bir faaliyetini de mercek altına aldı. Bu son kampanyada farkında olmadan ziyanlı OneNote belgelerini açan kullanıcılar, bilinmeyen bir VBScript’in yürütülmesini tetikliyor. Daha sonrasında komut evrakı sisteme muvaffakiyetle sızana kadar çeşitli web sitelerinden ziyanlı yükü indirmeye çalışıyor. Emotet içeri girdikten sonra süreksiz dizine bir DLL yerleştiriyor ve sonrasında bunu çalıştırıyor. Bu DLL, şifrelenmiş içe aktarma fonksiyonlarıyla birlikte saklı talimatlar yahut kabuk kodu içeriyor. Emotet, kaynak kısmından belli bir belgenin şifresini çözerek üstünlüğü ele geçiriyor ve en son kademede berbat emelli yükünü çalıştırıyor.
Gemi kargo nakliyatını amaç alan LokiBot içeren bir kimlik avı kampanyası devam ediyor…
Son olarak Kaspersky, gemi kargo nakliyatı şirketlerini gaye alan ve tespit etti. Birinci olarak 2016’da tanımlanan bu bilgi hırsızı, tarayıcılar ve FTP istemcileri dahil olmak üzere çeşitli uygulamalardan kimlik bilgilerini çalmak için tasarlandı. Kelam konusu e-postalar, kullanıcılardan makroları etkinleştirmelerini isteyen bir Excel doküman eki taşıyor. Saldırganlar Microsoft Office’teki bilinen bir güvenlik açığından (CVE-2017-0199) faydalanarak bir RTF evrakının indirilmesine yol açıyor. Bu RTF evrakı daha sonra LokiBot berbat hedefli yazılımını teslim etmek ve çalıştırmak için öbür bir güvenlik açığından (CVE-2017-11882) yararlanıyor.
Kaspersky Küresel Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel, şunları söylüyor: “Emotet’in yine görülmesi ve Lokibot’un daima varlığının yanı sıra DarkGate’in ortaya çıkması, karşı karşıya olduğumuz daima gelişen siber tehditlerin çarpıcı bir hatırlatması niteliğinde. Bu ziyanlı yazılım cinsleri ortama ahenk sağlayıp yeni bulaşma formüllerini benimsedikçe, bireylerin ve işletmelerin tetikte olması ve sağlam siber güvenlik tahlillerine yatırım yapması değer kazanıyor. Kaspersky’nin devam eden araştırmaları sırasında DarkGate, Emotet ve Lokibot’u tespit etmesi, gelişen siber tehlikelere karşı korunmak için proaktif tedbirlerin değerinin altını çiziyor.”
Securelist’te yeni bulaşma usulleri hakkında daha fazla bilgi edinebilirsiniz.
Kendinizi ve işletmenizi fidye yazılımı akınlarından korumak için Kaspersky şunları öneriyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı
EĞİTİM
11 Aralık 2024SPOR
11 Aralık 2024SAĞLIK
11 Aralık 2024TEKNOLOJİ
11 Aralık 2024EĞİTİM
11 Aralık 2024EKONOMİ
11 Aralık 2024SPOR
11 Aralık 2024Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.