DarkGate Malware leid ut til aspirerende hackere

En ny malspam-operasjon har blitt identifisert som distribuerer en lett tilgjengelig skadelig programvare kjent som DarkGate.

Telekom Security uttalte i en fersk rapport at den økte aktiviteten til DarkGate malware med rimelighet kan tilskrives det faktum at utvikleren nylig har begynt å leie den ut til en utvalgt gruppe medarbeidere.

Denne siste rapporten bygger på nylige oppdagelser gjort av sikkerhetsforsker Igal Lytzki, som avdekket en kampanje preget av dens storskala natur. Denne kampanjen utnytter kompromitterte e-posttråder for å lure mottakere til å laste ned skadelig programvare.

Overgrepet starter med en villedende URL i et phishing-forsøk. Ved å klikke, navigerer denne URL-en gjennom et trafikkretningssystem (TDS), og dirigerer offeret til en MSI-nyttelast som utløses under spesifikke forhold. Disse forholdene involverer tilstedeværelsen av en oppdateringshode i HTTP-svaret.

Når MSI-filen åpnes, aktiveres en flertrinnsprosedyre. Dette innebærer bruk av et AutoIt-skript for å utføre shellcode, som fungerer som en kanal for dekryptering og lansering av DarkGate gjennom en kryptering (eller loader).

For å være spesifikk, er lasteren konstruert for å dissekere AutoIt-skriptet og trekke ut den krypterte skadevareforekomsten. I en alternativ versjon av angrepene observeres et Visual Basic-skript i stedet for MSI-filen. Dette skriptet bruker på sin side cURL for å hente AutoIt kjørbare og skriptfil. Den nøyaktige metoden for å levere VB-skriptet er fortsatt ukjent.

DarkGate selges på Dark Web

DarkGate, primært markedsført på underjordiske fora av en person kjent som RastaFarEye, besitter muligheter som gjør det mulig å unngå deteksjon av sikkerhetsprogramvare. Det kan etablere utholdenhet ved å gjøre endringer i Windows-registeret, eskalere privilegier og stjele data fra nettlesere og andre applikasjoner som Discord og FileZilla.

Videre etablerer den kommunikasjon med en kommando-og-kontroll-server (C2) for å liste filer, utføre dataeksfiltrering, starte gruvedrift av kryptovaluta, fjernfange skjermbilder og utføre andre kommandoer.

Denne skadevare er tilgjengelig gjennom en abonnementsmodell, med priser som varierer fra $1 000 per dag til $15 000 per måned, og til og med opptil $100 000 per år. Forfatteren promoterer det som det "ultimate verktøyet for pentesters/redteamers" og fremhever dets unike egenskaper. Interessant nok inkluderte tidligere versjoner av DarkGate til og med en løsepengeprogrammodul.