Malware DarkGate affittato ad aspiranti hacker
È stata identificata una nuova operazione di spam che distribuisce un software dannoso facilmente disponibile noto come DarkGate.
Telekom Security, in un recente rapporto, ha affermato che la maggiore attività del malware DarkGate può essere ragionevolmente attribuita al fatto che il suo sviluppatore ha recentemente iniziato ad affittarlo a un gruppo selezionato di associati.
Quest’ultimo rapporto si basa sulle recenti scoperte fatte dal ricercatore di sicurezza Igal Lytzki, che ha scoperto una campagna caratterizzata dalla sua natura su larga scala. Questa campagna sfrutta i thread di posta elettronica compromessi per indurre i destinatari a scaricare il malware.
L'assalto inizia con un URL ingannevole in un tentativo di phishing. Facendo clic, questo URL naviga attraverso un sistema di direzione del traffico (TDS), indirizzando la vittima a un payload MSI che viene attivato in condizioni specifiche. Queste condizioni implicano la presenza di un'intestazione di aggiornamento all'interno della risposta HTTP.
All'apertura del file MSI viene attivata una procedura in più passaggi. Ciò comporta l'uso di uno script AutoIt per eseguire lo shellcode, che funge da canale per decrittografare e avviare DarkGate attraverso un crypter (o caricatore).
Per essere precisi, il caricatore è progettato per analizzare lo script AutoIt ed estrarre l'istanza del malware crittografato. In una versione alternativa degli attacchi, al posto del file MSI viene osservato uno script Visual Basic. Questo script, a sua volta, utilizza cURL per recuperare l'eseguibile AutoIt e il file di script. Il metodo preciso di consegna dello script VB rimane sconosciuto.
DarkGate venduto sul Dark Web
DarkGate, commercializzato principalmente nei forum clandestini da un individuo noto come RastaFarEye, possiede funzionalità che gli consentono di eludere il rilevamento da parte dei software di sicurezza. Può stabilire la persistenza apportando modifiche al registro di Windows, aumentare i privilegi e rubare dati da browser Web e altre applicazioni come Discord e FileZilla.
Inoltre, stabilisce una comunicazione con un server di comando e controllo (C2) per elencare file, eseguire l'esfiltrazione di dati, avviare il mining di criptovaluta, acquisire schermate in remoto ed eseguire altri comandi.
Questo malware è disponibile tramite un modello di abbonamento, con prezzi che vanno da 1.000 dollari al giorno a 15.000 dollari al mese e persino fino a 100.000 dollari all'anno. L'autore lo promuove come "lo strumento definitivo per pentesters/redteamers" e ne evidenzia le caratteristiche uniche. È interessante notare che le versioni precedenti di DarkGate includevano anche un modulo ransomware.
