Şu yazıyı okuyorsunuz: Bilgisayar Korsanları, Görünüşte Masum Microsoft Teams Mesajları Yoluyla Kötü Amaçlı Yazılım Gönderiyor
Bilgisayar korsanları, kötü amaçlı yazılım konusunda o kadar bilgili hale geliyor ki, bağlantıları şirket tatiliyle ilgili bir reklam gibi gösteriyorlar.
Microsoft Teams’i hedef alan “DarkGate Loader” adlı yeni bir kimlik avı dolandırıcılığı keşfedildi. Bir mesaj ve “tatil programında değişiklik” yazan bir bağlantıyla tanımlanabilir. Bu bağlantıya tıklamak ve ilgili .ZIP dosyalarına erişmek sizi ekli kötü amaçlı yazılımlara karşı savunmasız bırakabilir.
Araştırma ekibi Truesec Ağustos sonundan bu yana DarkGate Loader’ı izliyor ve bilgisayar korsanlarının, dosyayı kötü amaçlı olarak tanımlamayı zorlaştıran karmaşık bir indirme süreci kullandıklarını belirtiyor.
Bilgisayar korsanları, Microsoft Teams aracılığıyla “tatil takvimi değişiklikleri” bağlantısını içeren kötü amaçlı yazılım bulaşmış mesajı göndermek için ele geçirilen Office 365 hesaplarını kullanabildiler. Truesec, DarkGate Loader kötü amaçlı yazılımını göndermek için bilgisayar korsanlarının ele geçirdiği hesapları buldu. Bunlar arasında “Akkaravit Tattamanas” (63090101@my.buu.ac.th) ve “ABNER DAVID RIVERA ROJAS” (adriverar@unadvirtual.edu.co) yer alıyor.
Kötü amaçlı yazılım, bir LNK (bir Windows kısayolu) içine gizlenmiş virüslü bir VBScript’ten oluşur. Araştırma ekibi, saldırının SharePoint URL’si nedeniyle akıllıca olduğunu ve bunun da kullanıcıların bu dosyanın ele geçirilmiş bir dosya olduğunu fark etmesini zorlaştırdığını belirtiyor. Windows’un önceden derlenmiş cURL komut dosyası türü, dosyanın ortasında gizlendiğinden kodun tanımlanmasını da zorlaştırır.
Komut dosyası, kullanıcının Sophos antivirüsünün kurulu olup olmadığını belirleyebilir. Ekip, aksi takdirde kötü amaçlı yazılımın, sistem belleğine yüklenen bir DarkGate yürütülebilir dosyası oluşturan kabuk kodunu açan “yığılmış dizeler” adı verilen bir saldırıyla ek kod enjekte edebileceğini ekledi.
DarkGate Loader bu yaz Microsoft Teams’i vuran tek kimlik avı dolandırıcılığı değil. Midnight Blizzard adlı bir Rus bilgisayar korsanlığı grubu, ağustos ayında yaklaşık 40 kuruluşa saldırmak için bir sosyal mühendislik açığını kullanabildi. Bilgisayar korsanları, saldırıları gerçekleştirmek için zaten saldırıya uğramış ve teknik destek olarak gösterilen küçük işletmelerin sahip olduğu Microsoft 365 hesaplarını kullandı. Microsoft’un o zamandan bu yana sorunu ele aldığına göre Windows Merkezi.
Geçen sonbaharda yaygın bir trend, şirketin patronu kılığına giren hain bir aktörün, bir çalışana talimatlar içeren, iletilmiş bir e-posta zincirine benzeyen bir e-posta gönderdiği kimlik avı dolandırıcılığı olan iş e-postası uzlaşma (BEC) kampanyalarıydı. para göndermek.
Bir başka kötü şöhretli istismar da Windows’un sıfır gün güvenlik açığı Follina’ydı. Araştırmacılar bunu geçen yılın baharında keşfettiler ve bilgisayar korsanlarının genellikle Microsoft Office ve Microsoft Word ile ilişkilendirilen Microsoft Destek Teşhis Aracına erişmesine izin verdiğini belirlediler.
