DarkGate rosszindulatú programokat béreltek ki törekvő hackereknek

Új malspam műveletet azonosítottak, amely egy DarkGate néven ismert, könnyen elérhető rosszindulatú szoftvert telepít.

A Telekom Security egy friss jelentésében kijelentette, hogy a DarkGate kártevő megnövekedett aktivitása ésszerűen annak tudható be, hogy fejlesztője a közelmúltban elkezdte bérbe adni azt egy kiválasztott munkatársi körnek.

Ez a legfrissebb jelentés Igal Lytzki biztonsági kutató legújabb felfedezéseire épül, aki egy nagyszabású kampányt tárt fel. Ez a kampány a feltört e-mail-szálakat használja ki, hogy megtévessze a címzetteket a rosszindulatú program letöltésében.

A támadás egy megtévesztő URL-lel indul egy adathalász kísérlet során. Ha rákattint, ez az URL egy forgalomirányító rendszeren (TDS) keresztül navigál, és az áldozatot egy adott körülmények között aktiválódó MSI rakományhoz irányítja. Ezek a feltételek tartalmazzák a frissítési fejléc jelenlétét a HTTP-válaszban.

Az MSI fájl megnyitásakor egy többlépcsős eljárás aktiválódik. Ez magában foglalja egy AutoIt szkript használatát a shellkód végrehajtásához, amely csatornaként szolgál a DarkGate visszafejtéséhez és elindításához egy titkosítón (vagy betöltőn) keresztül.

Pontosabban, a betöltőt úgy tervezték, hogy szétbontsa az AutoIt szkriptet, és kibontsa a titkosított kártevő-példányt. A támadások másik változatában a Visual Basic Script figyelhető meg az MSI-fájl helyett. Ez a szkript pedig a cURL-t használja az AutoIt végrehajtható és szkriptfájl lekéréséhez. A VB Script kézbesítésének pontos módja továbbra is ismeretlen.

A DarkGate a Dark Web-en eladó

A DarkGate, amelyet egy RastaFarEye néven ismert személy elsősorban földalatti fórumokon forgalmaz, olyan képességekkel rendelkezik, amelyek lehetővé teszik, hogy elkerülje a biztonsági szoftverek észlelését. A Windows rendszerleíró adatbázisának módosításával, a jogosultságok kiterjesztésével, valamint a webböngészőkből és más alkalmazásokból, például a Discordból és a FileZillából származó adatok ellopásával biztosíthatja a tartósságot.

Ezenkívül kommunikációt létesít egy parancs- és vezérlőkiszolgálóval (C2) a fájlok listázásához, az adatok kiszűréséhez, a kriptovaluta bányászatának kezdeményezéséhez, a képernyőképek távoli rögzítéséhez és egyéb parancsok végrehajtásához.

Ez a rosszindulatú program előfizetéses modellen keresztül érhető el, árai napi 1000 dollártól havi 15 000 dollárig, sőt évi 100 000 dollárig terjednek. A szerző a "végső eszköz a pentesters/redteamers"-nek hirdeti, és kiemeli egyedi tulajdonságait. Érdekes módon a DarkGate korábbi verziói még ransomware modult is tartalmaztak.