„DarkGate“ kenkėjiška programa išnuomota trokštantiems įsilaužėliams
Nustatyta nauja kenkėjiško šlamšto operacija, kuri diegia lengvai prieinamą kenkėjišką programinę įrangą, vadinamą „DarkGate“.
„Telekom Security“ neseniai paskelbtoje ataskaitoje teigė, kad padidėjęs „DarkGate“ kenkėjiškų programų aktyvumas pagrįstai gali būti siejamas su tuo, kad jos kūrėjas neseniai pradėjo nuomoti ją pasirinktai partnerių grupei.
Ši naujausia ataskaita paremta naujausiais saugumo tyrinėtojo Igalo Lytzkio atradimais, atskleidusiu kampaniją, kuriai būdingas didelio masto pobūdis. Ši kampanija išnaudoja pažeistas el. pašto gijas, kad apgautų gavėjus, kad jie atsisiųstų kenkėjišką programą.
Užpuolimas pradedamas naudojant apgaulingą URL, kai bandoma sukčiauti. Spustelėjus šis URL naršo per eismo krypties sistemą (TDS), nukreipdamas auką į MSI naudingąjį krovinį, kuris suveikia tam tikromis sąlygomis. Šios sąlygos apima atnaujinimo antraštės buvimą HTTP atsakyme.
Atidarius MSI failą, suaktyvinama kelių etapų procedūra. Tai apima „AutoIt“ scenarijaus naudojimą apvalkalo kodui vykdyti, kuris yra kanalas „DarkGate“ iššifravimui ir paleidimui per šifravimo įrenginį (arba įkroviklį).
Tiksliau sakant, įkroviklis sukurtas taip, kad išardytų AutoIt scenarijų ir išskirtų užšifruotą kenkėjiškos programos egzempliorių. Alternatyvioje atakų versijoje vietoje MSI failo stebimas Visual Basic Script. Šis scenarijus, savo ruožtu, naudoja cURL, kad gautų AutoIt vykdomąjį ir scenarijaus failą. Tikslus VB scenarijaus pateikimo būdas lieka nežinomas.
„DarkGate“ parduodamas „Dark Web“.
„DarkGate“, kurį daugiausia parduoda požeminiuose forumuose asmuo, žinomas kaip „RastaFarEye“, turi galimybių, leidžiančių išvengti apsaugos programinės įrangos aptikimo. Jis gali užtikrinti patvarumą atlikdamas „Windows“ registro pakeitimus, padidindamas privilegijas ir pagrobdamas duomenis iš žiniatinklio naršyklių ir kitų programų, tokių kaip „Discord“ ir „FileZilla“.
Be to, jis užmezga ryšį su komandų ir valdymo (C2) serveriu, kad išvardintų failus, atliktų duomenų išfiltravimą, inicijuotų kriptovaliutų kasimą, nuotoliniu būdu užfiksuotų ekrano kopijas ir vykdytų kitas komandas.
Šią kenkėjišką programą galima įsigyti naudojant prenumeratos modelį, kurio kainos svyruoja nuo 1 000 USD per dieną iki 15 000 USD per mėnesį ir net iki 100 000 USD per metus. Autorius reklamuoja jį kaip "paskutinį įrankį pentesters/redteamers" ir pabrėžia jo unikalias savybes. Įdomu tai, kad ankstesnėse „DarkGate“ versijose netgi buvo išpirkos reikalaujančios programos modulis.
