DarkGate Malware udlejes til håbefulde hackere
En ny malspam-operation er blevet identificeret, der implementerer en let tilgængelig ondsindet software kendt som DarkGate.
Telekom Security udtalte i en nylig rapport, at den øgede aktivitet af DarkGate malware med rimelighed kan tilskrives det faktum, at dets udvikler for nylig er begyndt at leje det ud til en udvalgt gruppe af associerede.
Denne seneste rapport bygger på nylige opdagelser gjort af sikkerhedsforsker Igal Lytzki, som afslørede en kampagne, der er karakteriseret ved dens storstilede karakter. Denne kampagne udnytter kompromitterede e-mail-tråde til at narre modtagere til at downloade malwaren.
Overgrebet starter med en vildledende URL i et phishingforsøg. Ved klik navigerer denne URL gennem et trafikretningssystem (TDS) og dirigerer offeret til en MSI-nyttelast, der udløses under specifikke forhold. Disse forhold involverer tilstedeværelsen af en refresh header i HTTP-svaret.
Ved åbning af MSI-filen aktiveres en flertrinsprocedure. Dette involverer brugen af et AutoIt-script til at udføre shellcode, som fungerer som en kanal til dekryptering og lancering af DarkGate gennem en crypter (eller loader).
For at være specifik er loaderen konstrueret til at dissekere AutoIt-scriptet og udtrække den krypterede malware-instans. I en alternativ version af angrebene observeres et Visual Basic Script i stedet for MSI-filen. Dette script bruger til gengæld cURL til at hente AutoIt eksekverbare og script-fil. Den præcise metode til levering af VB-scriptet er stadig ukendt.
DarkGate sælges på Dark Web
DarkGate, der primært markedsføres på underjordiske fora af en person kendt som RastaFarEye, besidder egenskaber, der gør det muligt at unddrage sig registrering af sikkerhedssoftware. Det kan etablere persistens ved at foretage ændringer i Windows-registreringsdatabasen, eskalere privilegier og stjæle data fra webbrowsere og andre applikationer såsom Discord og FileZilla.
Desuden etablerer den kommunikation med en kommando-og-kontrol-server (C2) for at liste filer, udføre dataeksfiltrering, starte cryptocurrency-mining, fjernfange skærmbilleder og udføre andre kommandoer.
Denne malware er tilgængelig gennem en abonnementsmodel med priser, der spænder fra $1.000 pr. dag til $15.000 pr. måned, og endda op til $100.000 pr. år. Forfatteren promoverer det som det "ultimate værktøj for pentestere/redteamere" og fremhæver dets unikke funktioner. Interessant nok inkluderede tidligere versioner af DarkGate endda et ransomware-modul.