Hacklenen Skype hesapları kötü amaçlı yazılım yaymak için kullanılıyor

16 Ekim 2023 23:42

Beyza Doğan

Bilgisayar korsanlarının DarkGate kötü amaçlı yazılımını dağıtmak amacıyla ele geçirilmiş Skype hesaplarını kötüye kullandıkları bildiriliyor.

Trend Micro araştırmacıları yeni bir raporda, birden fazla Skype hesabının ele geçirildiğini ve daha sonra bir VBA yükleyici komut dosyası ekini paylaşmak için kullanıldığını iddia etti. Komut dosyasının dosya adı, bir .VBS dosyası olmasına rağmen kurbanların bunun bir .PDF dosyası olduğuna inanmasını sağlayacak şekilde değiştirildi.

Komut dosyası indirilip çalıştırıldığında, kötü amaçlı DarkGate kötü amaçlı yazılım kodunu içeren ikinci aşama bir AutoIT yükü indirilir.
Ekipleri de Hedefliyor
“Kurbanın Skype hesabına erişim, aktörün mevcut bir mesajlaşma dizisini ele geçirmesine ve dosyaların adlandırma kurallarını sohbet geçmişinin bağlamıyla ilişkilendirecek şekilde oluşturmasına izin verdi” diyen Trend Micro, Skype hesaplarının başlangıçta nasıl ele geçirildiğinden emin olmadığını da sözlerine ekledi.
“Anlık mesajlaşma uygulamalarının kaynak hesaplarının nasıl ele geçirildiği belli değil, ancak yeraltı forumlarında bulunan sızdırılmış kimlik bilgileri veya ana kuruluşun daha önce ele geçirilmesi yoluyla olduğu varsayılıyor.”

Bilgisayar korsanları Skype’ın yanı sıra şirketin diğer anlık mesajlaşma ve çevrimiçi işbirliği platformu olan Microsoft Teams’de de aynı şeyi denediler. Bu durumda, Teams yapılandırmaları harici kullanıcılardan gelen mesajlara izin veren kuruluşları hedef aldılar.

DarkGate, gizli bir VNC, Windows Defender’ı atlama yetenekleri, tarayıcı geçmişi çalma aracı, entegre bir ters proxy, bir dosya yöneticisi ve bir Discord token hırsızı gibi çok çeşitli özelliklere sahip bir hizmet olarak kötü amaçlı yazılımdır (MaaS). Araştırmacılar, kolluk kuvvetlerinin bu yaz Quakbot’u indirmesinden bu yana DarkGate kullanımında bir artış olduğunu da sözlerine ekledi.

Kötü amaçlı yazılım ilk olarak 2018 yılında, meşru AutoIT dosyalarını kullandığı ve çoğunlukla birden fazla AutoIT komut dosyası çalıştırdığı şeklinde rapor edilmişti. Malpedia’ya göre, bu yılın Mayıs ayında yeni bir sürüm yayınlandı ve bir Rus karanlık web forumunda ilan edildi.

Daha fazla haber için;