DarkGate マルウェアが野心的なハッカーにレンタルされる

DarkGate として知られる、すぐに入手できる悪意のあるソフトウェアを展開する新たなマルスパム操作が確認されました。

Telekom Security は最近のレポートで、DarkGate マルウェアの活動が増加しているのは、その開発者が最近、選ばれた従業員グループにマルウェアを貸し出し始めたという事実に合理的に起因している可能性があると述べています。

この最新のレポートは、大規模な性質を特徴とするキャンペーンを明らかにしたセキュリティ研究者 Igal Lytzki による最近の発見に基づいています。このキャンペーンでは、侵害された電子メール スレッドを悪用し、受信者をだましてマルウェアをダウンロードさせます。

この攻撃は、フィッシングを目的とした不正な URL から始まります。クリックすると、この URL はトラフィック ディレクション システム (TDS) を介して移動し、特定の条件下でトリガーされる MSI ペイロードに被害者を誘導します。これらの条件には、HTTP 応答内のリフレッシュ ヘッダーの存在が関係します。

MSI ファイルを開くと、複数ステップの手順がアクティブになります。これには、AutoIt スクリプトを使用してシェルコードを実行することが含まれます。シェルコードは、クリプター (またはローダー) を介して DarkGate を復号して起動するための経路として機能します。

具体的には、ローダーは AutoIt スクリプトを分析し、暗号化されたマルウェア インスタンスを抽出するように設計されています。攻撃の別のバージョンでは、MSI ファイルの代わりに Visual Basic スクリプトが観察されます。このスクリプトは、cURL を使用して AutoIt 実行可能ファイルとスクリプト ファイルを取得します。 VB スクリプトを配信する正確な方法は不明のままです。

ダークウェブで販売されている DarkGate

DarkGate は、主に RastaFarEye として知られる個人によってアンダーグラウンド フォーラムで販売されており、セキュリティ ソフトウェアによる検出を回避できる機能を備えています。 Windows レジストリに変更を加えて永続性を確立し、権限を昇格させ、Web ブラウザや Discord や FileZilla などの他のアプリケーションからデータを窃取する可能性があります。

さらに、コマンド アンド コントロール (C2) サーバーとの通信を確立して、ファイルの一覧表示、データの抽出の実行、暗号通貨のマイニングの開始、スクリーンショットのリモート キャプチャ、その他のコマンドの実行を行います。

このマルウェアはサブスクリプション モデルを通じて入手でき、価格は 1 日あたり 1,000 ドルから 1 か月あたり 15,000 ドル、さらには年間で 100,000 ドルに達します。著者はこれを「ペンテスター/レッドチーム向けの究極のツール」として宣伝し、そのユニークな機能を強調しています。興味深いことに、DarkGate の以前のバージョンにはランサムウェア モジュールも含まれていました。