DarkGate, Emotet ve LokiBot zararlı yazılım türlerinin karmaşık bulaşma taktiklerini ortaya çıktı. DarkGate’in benzersiz şifrelemesi ve Emotet’in güçlü geri dönüşü arasında LokiBot istismarlarının devam etmesi, siber güvenlik ortamının sürekli değiştiğini gösteriyor.
Güvenlik araştırmacıları, Haziran 2023’te alışıldık işlevselliğinin ötesine geçen yeni bir dizi özelliğe sahip DarkGate adlı yeni bir yükleyici keşfetti. Dikkat çeken özelliklerden bazıları arasında gizli VNC, Windows Defender’ı atlatma, tarayıcı geçmişini çalma, ters proxy, dosya yönetimi ve Discord belirteci çalma gibi özellikler yer alıyor.
DarkGate’in çalışma prensibi, DarkGate’in yüklenmesine yol açmak için karmaşık bir şekilde tasarlanmış dört aşamadan oluşan bir zincir içeriyor. Bu yükleyiciyi diğerlerinden ayıran şey ise özel bir karakter seti kullanarak dizeleri kişiselleştirilmiş anahtarlarla ve Base64 kodlamasının özel bir versiyonuyla şifrelemenin benzersiz bir yolunu bulmuş olması.
Ayrıca 2021’de kapatıldıktan sonra yeniden ortaya çıkan ünlü Emotet botnetinin bir faaliyetini de mercek altına aldı. Bu son kampanyada farkında olmadan zararlı OneNote dosyalarını açan kullanıcılar, gizli bir VBScript’in yürütülmesini tetikliyor. Daha sonrasında komut dosyası sisteme başarıyla sızana kadar çeşitli web sitelerinden zararlı yükü indirmeye çalışıyor.
Emotet içeri girdikten sonra geçici dizine bir DLL yerleştiriyor ve sonrasında bunu çalıştırıyor. Bu DLL, şifrelenmiş içe aktarma işlevleriyle birlikte gizli talimatlar veya kabuk kodu içeriyor. Emotet, kaynak bölümünden belirli bir dosyanın şifresini çözerek üstünlüğü ele geçiriyor ve en son aşamada kötü amaçlı yükünü çalıştırıyor.
Gemi kargo taşımacılığını hedef alıyor
Gemi kargo taşımacılığı şirketlerini hedef aldığı tespit edildi. İlk olarak 2016’da tanımlanan bu bilgi hırsızı, tarayıcılar ve FTP istemcileri dahil olmak üzere çeşitli uygulamalardan kimlik bilgilerini çalmak için tasarlandı. Söz konusu e-postalar, kullanıcılardan makroları etkinleştirmelerini isteyen bir Excel belge eki taşıyor. Saldırganlar Microsoft Office’teki bilinen bir güvenlik açığından (CVE-2017-0199) faydalanarak bir RTF belgesinin indirilmesine yol açıyor. Bu RTF belgesi daha sonra LokiBot kötü amaçlı yazılımını teslim etmek ve çalıştırmak için başka bir güvenlik açığından (CVE-2017-11882) yararlanıyor.
Buharlı temizlik makineleri ile ortamı bakterilerden arındırın
