Hackerlar DarkGate zararlı yazılımını bırakmak için başka bir Windows güvenlik açığından yararlanıyor

Microsoft kısa bir süre önce Windows SmartScreen’deki bir güvenlik açığını yamaladı, ancak bilgisayar korsanları bunu DarkGate kötü amaçlı yazılımını bırakmak için bir sıfır gün olarak kötüye kullanmadan önce değil.

Siber güvenlik araştırmacıları Trend Micro tarafından hazırlanan bir raporda, zararlı PDF dosyaları içeren kimlik avı e-postaları, Google DoubleClick Dijital Pazarlama (DDM) aracılığıyla açık yönlendirmeler ve yasal yazılımları taklit eden Microsoft yükleyicileri (.MSI) içeren yeni bir kampanyanın ayrıntıları yer aldı.

Araştırmacılar tarafından açıklandığı üzere, saldırı Water Hydra olarak bilinen bir tehdit aktörünün daha geniş bir kampanyasının parçasıdır. Kampanyada, saldırganlar hedeflerine görünüşte zararsız bir .PDF dosyası taşıyan ikna edici kimlik avı e-postaları gönderiyorlardı.

Güvenliği ihlal edilmiş programları indirmek 

Bu dosya, Google’ın doubleclick[.]net etki alanından açık bir yönlendirme dağıtan ve güvenliği ihlal edilmiş bir web sunucusuna yönlendiren bir bağlantı içermektedir. Açık yönlendirme, yönlendirmenin hedefinin istemci tarafından sağlandığı, ancak yönlendirmenin yapıldığı meşru web sitesinin isteği düzgün bir şekilde filtrelemediği veya doğrulamadığı bir güvenlik açığı türüdür.

Kurbanların yönlendirildiği bu sunucu, CVE-2024-21412 olarak izlenen bir güvenlik açığından yararlanan kötü amaçlı bir .URL kısayol dosyası barındırmaktadır.

Bu, çeşitli Microsoft ürünlerinde bulunan bulut tabanlı bir kimlik avı ve kötü amaçlı yazılımdan koruma bileşeni olan Microsoft Windows SmartScreen’deki bir kusurdur. Saldırganlar bu açıktan faydalanarak kurbanların kötü niyetli bir .MSI dosyasını – bir program yükleyicisini – çalıştırmasını sağlayabilmektedir.

Kurbanlar Apple iTunes, Notion, NVIDIA ve daha fazlası gibi yasal yazılımları yüklediklerine inandırılıyor. Ancak bu yazılım, kullanıcılara DarkGate sürüm 6.1.7’yi bulaştıran yan yüklü DLL dosyalarıyla birlikte gelir. Malpedia tarafından açıklandığı üzere DarkGate, ikinci aşama kötü amaçlı yazılımları, Gizli Sanal Ağ Hesaplama (HVNC) modülünü indirip çalıştırabilen, keylogging yapabilen, virüslü cihazlardan veri çalabilen ve hatta ayrıcalıkları artırabilen bir emtia yükleyicisidir.

Kötü amaçlı yazılım ilk olarak 2018’de tespit edildi ve bazı araştırmacılar bunun Rusya kaynaklı olduğuna inanıyor.