DarkGate kötü amaçlı yazılımını dağıtan kimlik avı saldırısında hedeflenen Microsoft Teams kullanıcıları
Kötü amaçlı yazılım dağıtmak için Microsoft Teams’teki kolayca istismar edilebilecek bir sorundan yararlanan yeni bir kimlik avı kampanyası araştırmacılar tarafından işaretlendi.
Microsoft Teams kullanıcılarına kötü amaçlı yazılım dağıtma
Geçen ayın sonlarında Truesec araştırmacıları, kurumsal hedeflere kötü amaçlı ek içeren İK temalı mesajlar gönderen, güvenliği ihlal edilmiş iki Microsoft 365 hesabını tespit etti.
İki mesaj da aynıydı: Öngörülemeyen koşullar nedeniyle tatil programında değişiklikler olduğunu ve alıcının bunlardan etkilenebileceğini iddia ettiler.
Tatil programında değişiklikler.zip – bir SharePoint sitesinden indirilir ve bir kez açıldığında, DarkGate yükleyici Windows çalıştırılabilir dosyasını yüklemek için kabuk kodunu başlatan bir AutoIT betiğinin yürütülmesine yol açar.
DarkGate yükleyicisi 2017’den beri piyasada. Başlangıçta yalnızca geliştirici tarafından kullanıldı, ancak yakın zamanda sınırlı sayıda bağlı kuruluş tarafından kullanılabilir hale geldi.
Yükleyicinin ayrıca kripto madenciliği, tarayıcı geçmişi ve çerez hırsızlığı, uzaktan erişim ve kontrol gibi başka yetenekleri de vardır.
Microsoft Teams yoluyla kimlik avı yeni değil
Daha önce de belirtildiği gibi, Jumpsec araştırmacıları yakın zamanda Microsoft Teams’te, tehdit aktörlerinin çalışanların gelen kutularına kötü amaçlı yazılım göndermesine izin verebilecek bir hatayı ortaya çıkardılar. İstemci tarafı güvenlik kontrollerini atlamak harici kiracıların (kuruluş dışındaki M365 kullanıcıları) çalışanlara dosya göndermesine izin vermeyen.
Truesec kıdemli siber güvenlik danışmanı Jakob Nordenlund, “Maalesef Güvenli Ekler veya Güvenli Bağlantılar gibi mevcut Microsoft Teams güvenlik özellikleri bu saldırıyı tespit edemedi veya engelleyemedi” dedi.
“Şu anda Microsoft Teams içindeki bu saldırı vektörünü önlemenin tek yolu, Microsoft Teams’in yalnızca belirli harici alanlardan gelen sohbet isteklerine izin vermektir; ancak tüm güvenilir harici alanların bir BT yöneticisi tarafından beyaz listeye alınması gerektiğinden bunun iş açısından sonuçları olabilir.”
