Dolar (USD)
35.20
Euro (EUR)
36.70
Gram Altın
2955.18
BIST 100
9626.56
02:17 İMSAK'A
KALAN SÜRE

Kaspersky "yeni bulaşma" yöntemlerini raporladı

Kaspersky'nin araştırmacıları, Haziran 2023'te ortaya çıkan "DarkGate" isimli yükleyicinin, alışılagelmiş işlevselliğin ötesine geçen yeni bir dizi özellik taşıdığını tespit etti.
Kaspersky "yeni bulaşma" yöntemlerini raporladı
09 Ağustos 2023 12:00:13
Kaspersky'nin araştırmacıları, Haziran 2023'te ortaya çıkan "DarkGate" isimli yükleyicinin, alışılagelmiş işlevselliğin ötesine geçen yeni bir dizi özellik taşıdığını tespit etti.

Kaspersky tarafından yapılan açıklamaya göre, öne çıkan bazı özellikler arasında gizli VNC erişimi, Windows Defender'ı etkisiz hale getirme, tarayıcı geçmişini ele geçirme, tersine proxy kullanımı, dosya yönetimi ve Discord kimlik bilgisi çalma gibi özellikler bulunmaktadır.

DarkGate'in çalışma prensibi, yükleyicinin yüklenmesine yol açmak için karmaşık bir şekilde tasarlanmış dört aşamadan oluşan bir zincir içeriyor. Bu yükleyiciyi diğerlerinden ayıran şeyin ise özel bir karakter seti kullanarak dizeleri kişiselleştirilmiş anahtarlarla ve Base64 kodlamasının özel bir versiyonuyla şifrelemenin benzersiz bir yolunu bulmuş olması görülüyor.

Kaspersky'nin araştırması ayrıca 2021'de kapatıldıktan sonra yeniden ortaya çıkan ünlü Emotet botnetinin bir faaliyetini de mercek altına aldı. Bu son kampanyada farkında olmadan zararlı OneNote dosyalarını açan kullanıcılar, gizli bir VBScript'in yürütülmesini tetikliyor.

Daha sonrasında komut dosyası sisteme başarıyla sızana kadar çeşitli web sitelerinden zararlı yükü indirmeye çalışıyor. Emotet içeri girdikten sonra geçici dizine bir DLL yerleştiriyor ve sonrasında bunu çalıştırıyor. Bu DLL, şifrelenmiş içe aktarma işlevleriyle birlikte gizli talimatlar veya kabuk kodu içeriyor. Emotet, kaynak bölümünden belirli bir dosyanın şifresini çözerek üstünlüğü ele geçiriyor ve en son aşamada kötü amaçlı yükünü çalıştırıyor.

Son olarak Kaspersky, gemi kargo taşımacılığı şirketlerini hedef alan bir kimlik avı kampanyası tespit etti. İlk olarak 2016'da tanımlanan bu bilgi hırsızı, tarayıcılar ve FTP istemcileri dahil olmak üzere çeşitli uygulamalardan kimlik bilgilerini çalmak için tasarlandı.

Söz konusu e-postalar, kullanıcılardan makroları etkinleştirmelerini isteyen bir excel belge eki taşıyor. Saldırganlar Microsoft Office'teki bilinen bir güvenlik açığından (CVE-2017-0199) faydalanarak bir RTF belgesinin indirilmesine yol açıyor. Bu RTF belgesi daha sonra LokiBot kötü amaçlı yazılımını teslim etmek ve çalıştırmak için başka bir güvenlik açığından (CVE-2017-11882) yararlanıyor.

Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel, "Emotet'in yeniden görülmesi ve Lokibot'un sürekli varlığının yanı sıra DarkGate'in ortaya çıkması, karşı karşıya olduğumuz sürekli gelişen siber tehditlerin çarpıcı bir hatırlatması niteliğinde. Bu zararlı yazılım türleri ortama uyum sağlayıp yeni bulaşma yöntemlerini benimsedikçe, bireylerin ve işletmelerin tetikte olması ve sağlam siber güvenlik çözümlerine yatırım yapması önem kazanıyor. Kaspersky'nin devam eden araştırmaları sırasında DarkGate, Emotet ve Lokibot'u tespit etmesi, gelişen siber tehlikelere karşı korunmak için proaktif önlemlerin öneminin altını çiziyor." ifadelerini kullandı.

En son gelişmelerden haberdar olmak için whatsapp kanalımızı takip edin