DarkGate-Malware wird an angehende Hacker vermietet
Es wurde ein neuer Malspam-Vorgang entdeckt, der eine leicht verfügbare Schadsoftware namens DarkGate einsetzt.
Telekom Security gab in einem aktuellen Bericht an, dass die erhöhte Aktivität der DarkGate-Malware vernünftigerweise auf die Tatsache zurückzuführen sei, dass ihr Entwickler kürzlich damit begonnen habe, sie an eine ausgewählte Gruppe von Mitarbeitern zu vermieten.
Dieser neueste Bericht baut auf den jüngsten Entdeckungen des Sicherheitsforschers Igal Lytzki auf, der eine Kampagne aufgedeckt hat, die sich durch ihren groß angelegten Charakter auszeichnet. Diese Kampagne nutzt kompromittierte E-Mail-Threads aus, um Empfänger zum Herunterladen der Malware zu verleiten.
Der Angriff wird mit einer irreführenden URL als Phishing-Versuch eingeleitet. Beim Klicken navigiert diese URL durch ein Traffic Direction System (TDS) und leitet das Opfer zu einer MSI-Nutzlast, die unter bestimmten Bedingungen ausgelöst wird. Diese Bedingungen erfordern das Vorhandensein eines Aktualisierungsheaders in der HTTP-Antwort.
Beim Öffnen der MSI-Datei wird ein mehrstufiges Verfahren aktiviert. Dies beinhaltet die Verwendung eines AutoIt-Skripts zur Ausführung von Shellcode, der als Kanal zum Entschlüsseln und Starten von DarkGate über einen Crypter (oder Loader) dient.
Genauer gesagt ist der Loader so konzipiert, dass er das AutoIt-Skript zerlegt und die verschlüsselte Malware-Instanz extrahiert. In einer alternativen Version der Angriffe wird anstelle der MSI-Datei ein Visual Basic Script beobachtet. Dieses Skript wiederum verwendet cURL, um die ausführbare AutoIt-Datei und die Skriptdatei abzurufen. Die genaue Methode zur Bereitstellung des VB-Skripts ist weiterhin unbekannt.
DarkGate im Dark Web verkauft
DarkGate wird hauptsächlich in Untergrundforen von einer Person namens RastaFarEye vermarktet und verfügt über Fähigkeiten, die es ihm ermöglichen, sich der Erkennung durch Sicherheitssoftware zu entziehen. Es kann Persistenz herstellen, indem es Änderungen an der Windows-Registrierung vornimmt, Berechtigungen eskaliert und Daten aus Webbrowsern und anderen Anwendungen wie Discord und FileZilla stiehlt.
Darüber hinaus stellt es eine Kommunikation mit einem Command-and-Control-Server (C2) her, um Dateien aufzulisten, eine Datenexfiltration durchzuführen, das Kryptowährungs-Mining zu initiieren, Screenshots aus der Ferne zu erfassen und andere Befehle auszuführen.
Diese Malware ist über ein Abonnementmodell erhältlich, dessen Preise zwischen 1.000 US-Dollar pro Tag und 15.000 US-Dollar pro Monat und sogar bis zu 100.000 US-Dollar pro Jahr liegen. Der Autor bewirbt es als „ultimatives Tool für Pentester/Redteamer“ und hebt seine einzigartigen Eigenschaften hervor. Interessanterweise enthielten frühere Versionen von DarkGate sogar ein Ransomware-Modul.
