Son dönemde siber saldırganlar, Microsoft Teams ve AnyDesk gibi popüler uygulamaları kullanarak DarkGate adlı kötü amaçlı yazılımı yaymak için yeni bir sosyal mühendislik kampanyası başlattı. Uzaktan erişim araçlarının kötüye kullanıldığı bu saldırılar, kullanıcıların kimlik bilgilerini ele geçirmek ve sistemlere yetkisiz erişim sağlamak amacı taşıyor.
Saldırının yöntemi ve DarkGate’in tehlikeleri
Saldırganlar, öncelikle hedeflerinin e-posta kutusunu binlerce sahte e-posta ile doldurarak dikkatlerini dağıtıyor. Ardından Microsoft Teams aracılığıyla kullanıcılarla iletişim kurarak kendilerini dış tedarikçi çalışanı gibi tanıtıyorlar. Bu noktada, hedef kişiyi AnyDesk gibi uzaktan erişim araçlarını yüklemeye ikna ediyorlar. AnyDesk yüklendikten sonra, saldırganlar hedef bilgisayara uzaktan erişim sağlayarak DarkGate kötü amaçlı yazılımını ve kimlik hırsızlığı araçlarını devreye sokuyorlar.
DarkGate, 2018 yılından bu yana aktif olan bir uzaktan erişim truva atı (RAT) olarak bilinir. Zamanla kötü amaçlı yazılım hizmeti (MaaS) haline gelen DarkGate, siber suçlular için güçlü bir araç olarak dikkat çekiyor. Başlıca özellikleri arasında şunlar yer alıyor:
•Kimlik bilgisi hırsızlığı,
•Tuş kaydetme (keylogging),
•Ekran görüntüsü alma,
•Ses kaydı yapma,
•Uzaktan masaüstü kontrolü.
Trend Micro’nun yaptığı araştırmaya göre, DarkGate çoğunlukla AutoIt ve AutoHotKey komut dosyaları kullanılarak sistemlere bulaştırılıyor. Saldırıların bazıları engellense bile, saldırganların sürekli olarak yeni erişim yöntemleri geliştirmeleri, tehditin boyutunu gözler önüne seriyor.
Yaygınlaşan kimlik avı kampanyaları
DarkGate saldırılarının yanı sıra, siber suçlular kimlik avı (phishing) saldırılarını da sıklaştırmış durumda. Kimlik avı saldırılarında saldırganlar, sahte siteler veya belgeler kullanarak kurbanları kandırıp kimlik bilgilerini ele geçiriyor. İşte bu saldırılarda kullanılan yöntemlerden bazıları:
1.YouTube odaklı saldırılar: Popüler markaları taklit eden saldırganlar, içerik üreticilerine sahte promosyon teklifleri göndererek kimlik bilgilerini çalıyor.
2.QR kod tabanlı kimlik avı: E-postalara eklenen PDF belgelerinde QR kodlar kullanılarak kullanıcılar sahte Microsoft 365 giriş sayfalarına yönlendiriliyor.
3.Sahte CAPTCHA kontrolleri: Cloudflare gibi güvenilir platformlar taklit edilerek kullanıcılar sahte doğrulama süreçlerinden geçirilip kimlik bilgilerini teslim etmeye zorlanıyor.
4.HTML tabanlı kimlik avı: E-postalara eklenen HTML dosyaları, zararsız belgeler gibi görünse de kötü amaçlı JavaScript kodları içererek kullanıcıları sahte sitelere yönlendiriyor.
Korunma yöntemleri ve alınması gereken önlemler
Saldırganların her geçen gün daha karmaşık yöntemler geliştirmesi, bireylerin ve kuruluşların güvenlik önlemlerini artırmasını zorunlu kılıyor. DarkGate ve benzeri tehditlere karşı korunmak için şu önlemler alınabilir:
•Çok faktörlü kimlik doğrulama (MFA) kullanarak kimlik bilgilerinin ele geçirilme riskini azaltmak.
•Güvenilir uzaktan erişim araçlarının beyaz listeye eklenmesi ve yetkisiz uygulamaların engellenmesi.
•Şüpheli e-postalar ve bağlantılar konusunda çalışanların bilinçlendirilmesi.
•Üçüncü taraf teknik destek sağlayıcılarının güvenilirliği detaylı şekilde doğrulanmalıdır.
Microsoft Teams ve AnyDesk gibi yaygın araçların kötüye kullanılması, tehdit aktörlerinin sosyal mühendislik yeteneklerini ne kadar ileri taşıdığını gösteriyor. DarkGate gibi tehlikeli kötü amaçlı yazılımlar, sadece bir sistemin güvenliğini tehlikeye atmakla kalmıyor, aynı zamanda kimlik bilgisi hırsızlığı ve veri sızıntılarına da yol açabiliyor. Kurumların ve bireylerin güvenlik önlemlerini güçlendirmesi, bu tür saldırıların etkilerini en aza indirmek için kritik bir adımdır.
