Bir tehdit oyuncusu, insanları Darkgate ve Redline gibi bilgi yönlendiren kötü amaçlı yazılımları indirmeye teşvik etmek için donanım üreticisi Corsair'deki bir Facebook reklam uzmanı konumu hakkında sahte LinkedIn yayınlarını ve doğrudan mesajları kullanıyor.
Siber Güvenlik Şirketi Withecure etkinliği tespit etti ve bugün bir raporda, geçen yıl ilk kez tespit edilen 'ördek kuyruğu' kampanyalarından sorumlu Vietnam siber suçlu gruplarla bağlantılı olduğunu gösteren grubun etkinliğini izledi.
Bu kampanyalar, kötü niyetli veya diğer siber suçlulara satılabilecek değerli Facebook iş hesapları çalmayı amaçlamaktadır.
Darkgate ilk olarak 2017'de görüldü, ancak konuşlandırması, yazarının kötü amaçlı yazılımlara daha geniş bir kitleye erişim satmaya karar verdiği Haziran 2023'e kadar sınırlı kaldı.
Darkgate'in kullanımının son örnekleri, Microsoft ekipleri aracılığıyla, yük yükünü zorlayan ve tehlikeye atılan Skype hesaplarından yararlanarak, kötü amaçlı yazılımlara yol açan bir enfeksiyon zincirini tetiklemek için VBS komut dosyalarını göndermek için kimlik avı saldırıları yer alıyor.
Vietnam tehdit aktörleri, çoğunlukla ABD, İngiltere ve Hindistan'da sosyal medya yönetimi pozisyonlarına sahip olan ve Facebook iş hesaplarına erişebilecek kullanıcıları hedef aldı. Cazibe LinkedIn üzerinden teslim edilir ve Corsair'de bir iş teklifi içerir.
Hedefler, bir PDF ile bir zip dosyası (“maaş ve yeni ürünler.8.4.zip”) bırakması için Google Drive veya Dropbox'a yönlendiren bir URL'den (“G2 [.] By/Corsair-jd”) kötü amaçlı dosyaları indirmek için kandırılır. veya Docx belgesi ve takip eden adlara sahip bir txt dosyası:
Secure araştırmacıları yukarıdaki dosyalar için meta verileri analiz ettiler ve Bulundu Redline Stealer dağılımına yol açtı.
İndirilen arşiv, muhtemelen Docx dosyasına gömülü olan ve ‘curl.exe'yi yeni bir konuma kopyalayıp yeniden adlandıran ve‘ Autoit3.exe ’ve derlenmiş bir Autoit3 betiği indirmek için kullanan bir VBS komut dosyası içerir.
Yürütülebilir yazma komut dosyasını başlatır ve ikincisi kendini kandırır ve komut dosyasında bulunan dizeleri kullanarak Darkgate'i oluşturur.
Kurulumdan otuz saniye sonra, kötü amaçlı yazılım, güvenlik ürünlerini tehlikeye atılan sistemden kaldırmaya çalışır ve otomatik bir işlemin varlığını gösterir.
LinkedIn, kullanıcıların bir hesabın şüpheli veya sahte olup olmadığını belirlemelerine yardımcı olabilecek platformda istismarla mücadele etmek için özellikler getirdi. Ancak, yeni bir hesapla iletişim kurmadan önce doğrulanmış bilgileri kontrol etmek kullanıcılara düşer.
Withecure, kuruluşların bu tehdit aktöründen faaliyetlere karşı savunmasına yardımcı olabilecek uzlaşma göstergelerinin (IOC'ler) bir listesini yayınladı. Ayrıntılar IP adresleri, kullanılan alanlar, URL'ler, dosya meta verileri ve arşivlerin adlarını içerir.
Darkgate kötü amaçlı yazılım, tehlikeye atılan Skype hesaplarından yayılıyor
Kötü amaçlı yazılımları iten reklamlar tarafından sızan bing sohbet yanıtları
Microsoft Teams kimlik avı saldırısı Darkgate kötü amaçlı yazılımları zorluyor
Facebook Messenger Kimlik Avı Dalgası Haftada 100 bin İşletme Hesapları
Ragnar Locker Fidye Yazılımı Geliştiricisi Fransa'da Tutuklandı
Kaynak: Bleeping Computer