Siber Suçlular, DarkGate Zararlı Yazılımını Yaymak İçin Microsoft Teams ve AnyDesk'i Kullanıyor

18.12.2024

Yeni bir sosyal mühendislik kampanyası, Microsoft Teams'i kullanarak DarkGate adlı gelişmiş bir zararlı yazılımı dağıtmak için harekete geçti. Trend Micro araştırmacılarına göre, saldırganlar Microsoft Teams üzerinden kullanıcıların müşterisi gibi davranarak bir görüşme gerçekleştirdi ve kurbanları, meşru bir uzaktan erişim aracı olan AnyDesk'i indirmeye ikna etti. Daha sonra bu araç, zararlı yazılımı yüklemek için kötüye kullanıldı.

Bu kampanya çok aşamalı bir saldırı stratejisi içeriyordu. Saldırganlar önce kurbanların e-posta gelen kutularını binlerce mesajla doldurdu ve ardından dış bir tedarikçinin çalışanı gibi davranarak Microsoft Teams üzerinden kurbanlara yaklaştı. Güven sağlandıktan sonra, kurbanlara AnyDesk yüklemeleri talimatı verildi ve bu araç, kimlik bilgisi çalan yazılımlar ve DarkGate zararlı yazılımı gibi yüklerin tesliminde kullanıldı.

2018 yılından beri aktif olan DarkGate, gelişmiş özelliklere sahip bir Zararlı Yazılım Hizmeti (MaaS) platformuna dönüştü ve yalnızca sınırlı sayıda, dikkatle seçilmiş müşterilere sunuluyor. Kimlik bilgisi çalma, tuş kaydı yapma, ekran ve ses kaydı alma, ayrıca uzaktan masaüstü kontrolü gibi özelliklere sahip. Son analizler, DarkGate'in genellikle AutoIt ve AutoHotKey betikleri aracılığıyla saldırıları başlattığını ve bir olayda zararlı yazılımın bir AutoIt betiğiyle dağıtıldığını ortaya koydu.

Bu tür tehditlerle mücadele etmek için kuruluşlara güçlü güvenlik önlemleri almaları tavsiye ediliyor. Çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmesi, yalnızca onaylı uzaktan erişim araçlarının kullanılması, doğrulanmamış uygulamaların engellenmesi ve üçüncü taraf teknik destek sağlayıcılarının titizlikle incelenmesi gibi önlemler, oltalama ve diğer sosyal mühendislik tekniklerinin neden olduğu riskleri azaltmaya yardımcı olabilir.

YouTube, Cloudflare ve Microsoft 365 gibi güvenilir platformlar ile küresel olaylardan yararlanan oltalama kampanyalarının artışı, dikkatli olmanın önemini bir kez daha vurguluyor. Saldırganlar, kurbanları hassas verilerini paylaşmaya veya zararlı eylemleri gerçekleştirmeye ikna etmek için aciliyet, güven ve duygusal manipülasyon tekniklerinden faydalanıyor. Alan adı kayıtlarının, metin desenlerinin ve DNS anormalliklerinin proaktif izlenmesi, güvenlik ekiplerinin bu tehditleri erken aşamada tespit edip etkisiz hale getirmesine olanak tanıyabilir.