Κακόβουλο λογισμικό DarkGate ενοικιάζεται σε επίδοξους χάκερ
Εντοπίστηκε μια νέα λειτουργία malspam που αναπτύσσει ένα άμεσα διαθέσιμο κακόβουλο λογισμικό γνωστό ως DarkGate.
Η Telekom Security, σε πρόσφατη αναφορά, δήλωσε ότι η αυξημένη δραστηριότητα του κακόβουλου λογισμικού DarkGate μπορεί εύλογα να αποδοθεί στο γεγονός ότι ο προγραμματιστής του άρχισε πρόσφατα να το νοικιάζει σε μια επιλεγμένη ομάδα συνεργατών.
Αυτή η τελευταία έκθεση βασίζεται σε πρόσφατες ανακαλύψεις που έγιναν από τον ερευνητή ασφαλείας Igal Lytzki, ο οποίος αποκάλυψε μια εκστρατεία που χαρακτηρίζεται από τη μεγάλης κλίμακας φύση της. Αυτή η καμπάνια εκμεταλλεύεται παραβιασμένα νήματα ηλεκτρονικού ταχυδρομείου για να εξαπατήσει τους παραλήπτες να κατεβάσουν το κακόβουλο λογισμικό.
Η επίθεση ξεκινά με ένα παραπλανητικό URL σε μια προσπάθεια ηλεκτρονικού ψαρέματος. Κάνοντας κλικ, αυτή η διεύθυνση URL πλοηγείται μέσω ενός συστήματος κατεύθυνσης κυκλοφορίας (TDS), κατευθύνοντας το θύμα σε ένα ωφέλιμο φορτίο MSI που ενεργοποιείται υπό συγκεκριμένες συνθήκες. Αυτές οι συνθήκες περιλαμβάνουν την παρουσία μιας κεφαλίδας ανανέωσης εντός της απόκρισης HTTP.
Με το άνοιγμα του αρχείου MSI, ενεργοποιείται μια διαδικασία πολλαπλών βημάτων. Αυτό περιλαμβάνει τη χρήση ενός σεναρίου AutoIt για την εκτέλεση του shellcode, το οποίο χρησιμεύει ως αγωγός για την αποκρυπτογράφηση και την εκκίνηση του DarkGate μέσω ενός κρυπτογράφησης (ή φορτωτή).
Για να είμαστε συγκεκριμένοι, το πρόγραμμα φόρτωσης έχει σχεδιαστεί για να αναλύει το σενάριο AutoIt και να εξαγάγει την κρυπτογραφημένη παρουσία κακόβουλου λογισμικού. Σε μια εναλλακτική έκδοση των επιθέσεων, μια δέσμη ενεργειών της Visual Basic παρατηρείται στη θέση του αρχείου MSI. Αυτό το σενάριο, με τη σειρά του, χρησιμοποιεί το cURL για να ανακτήσει το εκτελέσιμο αρχείο και το αρχείο σεναρίου AutoIt. Η ακριβής μέθοδος παράδοσης του VB Script παραμένει άγνωστη.
DarkGate Πωλείται στο Dark Web
Το DarkGate, που διατίθεται κυρίως σε υπόγεια φόρουμ από ένα άτομο γνωστό ως RastaFarEye, διαθέτει δυνατότητες που του επιτρέπουν να διαφεύγει τον εντοπισμό από το λογισμικό ασφαλείας. Μπορεί να δημιουργήσει επιμονή κάνοντας αλλαγές στο μητρώο των Windows, να κλιμακώσει τα προνόμια και να κλέψει δεδομένα από προγράμματα περιήγησης ιστού και άλλες εφαρμογές όπως το Discord και το FileZilla.
Επιπλέον, δημιουργεί επικοινωνία με έναν διακομιστή εντολών και ελέγχου (C2) για τη λίστα αρχείων, τη διεκπεραίωση δεδομένων, την εκκίνηση της εξόρυξης κρυπτονομισμάτων, τη λήψη στιγμιότυπων οθόνης από απόσταση και την εκτέλεση άλλων εντολών.
Αυτό το κακόβουλο λογισμικό είναι διαθέσιμο μέσω ενός μοντέλου συνδρομής, με τιμές που κυμαίνονται από 1.000 $ την ημέρα έως 15.000 $ το μήνα και ακόμη και έως και 100.000 $ ετησίως. Ο συγγραφέας το προωθεί ως το «απόλυτο εργαλείο για pentesters/redteamers» και αναδεικνύει τα μοναδικά χαρακτηριστικά του. Είναι ενδιαφέρον ότι οι προηγούμενες εκδόσεις του DarkGate περιλάμβαναν ακόμη και μια μονάδα ransomware.
