DarkGate-malware verhuurd aan aspirant-hackers
Er is een nieuwe malspam-operatie geïdentificeerd waarbij gebruik wordt gemaakt van direct beschikbare kwaadaardige software, bekend als DarkGate.
Telekom Security stelt in een recent rapport dat de toegenomen activiteit van de DarkGate-malware redelijkerwijs kan worden toegeschreven aan het feit dat de ontwikkelaar deze onlangs is gaan verhuren aan een selecte groep medewerkers.
Dit laatste rapport bouwt voort op recente ontdekkingen van veiligheidsonderzoeker Igal Lytzki, die een campagne aan het licht bracht die werd gekenmerkt door zijn grootschalige karakter. Deze campagne maakt misbruik van gecompromitteerde e-mailthreads om ontvangers te misleiden zodat ze de malware downloaden.
De aanval begint met een misleidende URL in een phishing-poging. Door te klikken navigeert deze URL door een verkeersrichtingssysteem (TDS) en wordt het slachtoffer naar een MSI-payload geleid die onder specifieke omstandigheden wordt geactiveerd. Deze voorwaarden omvatten de aanwezigheid van een vernieuwingsheader binnen het HTTP-antwoord.
Bij het openen van het MSI-bestand wordt een meerstapsprocedure geactiveerd. Dit omvat het gebruik van een AutoIt-script om shellcode uit te voeren, die dient als kanaal voor het decoderen en starten van DarkGate via een crypter (of lader).
Om specifiek te zijn: de lader is ontworpen om het AutoIt-script te ontleden en de gecodeerde malware-instantie te extraheren. In een alternatieve versie van de aanvallen wordt een Visual Basic-script waargenomen in plaats van het MSI-bestand. Dit script gebruikt op zijn beurt cURL om het uitvoerbare bestand en het scriptbestand van AutoIt op te halen. De precieze methode voor het leveren van het VB-script blijft onbekend.
DarkGate Verkocht op Dark Web
DarkGate, voornamelijk op ondergrondse forums op de markt gebracht door een persoon die bekend staat als RastaFarEye, beschikt over mogelijkheden die het mogelijk maken om detectie door beveiligingssoftware te omzeilen. Het kan persistentie tot stand brengen door wijzigingen aan te brengen in het Windows-register, rechten te escaleren en gegevens uit webbrowsers en andere applicaties zoals Discord en FileZilla te stelen.
Bovendien brengt het communicatie tot stand met een command-and-control (C2)-server om bestanden weer te geven, data-exfiltratie uit te voeren, cryptocurrency-mining te initiëren, op afstand screenshots te maken en andere opdrachten uit te voeren.
Deze malware is beschikbaar via een abonnementsmodel, met prijzen variërend van $1.000 per dag tot $15.000 per maand, en zelfs tot $100.000 per jaar. De auteur promoot het als het "ultieme hulpmiddel voor pentesters/redteamers" en benadrukt de unieke kenmerken ervan. Interessant genoeg bevatten eerdere versies van DarkGate zelfs een ransomwaremodule.
