Złośliwe oprogramowanie DarkGate wynajmowane początkującym hakerom
Wykryto nową operację złośliwego spamu polegającą na wdrażaniu łatwo dostępnego złośliwego oprogramowania znanego jako DarkGate.
W niedawnym raporcie Telekom Security stwierdził, że zwiększoną aktywność szkodliwego oprogramowania DarkGate można w uzasadniony sposób przypisać faktowi, że jego twórca zaczął niedawno wynajmować je wybranej grupie współpracowników.
Ten najnowszy raport opiera się na ostatnich odkryciach poczynionych przez badacza bezpieczeństwa Igala Lytzkiego, który odkrył kampanię charakteryzującą się zakrojonym na szeroką skalę. Ta kampania wykorzystuje zainfekowane wątki wiadomości e-mail w celu oszukania odbiorców w celu pobrania złośliwego oprogramowania.
Atak rozpoczyna się od zwodniczego adresu URL będącego próbą phishingu. Po kliknięciu ten adres URL przechodzi przez system kierowania ruchem (TDS), kierując ofiarę do ładunku MSI, który jest wyzwalany w określonych warunkach. Warunki te obejmują obecność nagłówka odświeżania w odpowiedzi HTTP.
Po otwarciu pliku MSI aktywowana jest wieloetapowa procedura. Wiąże się to z użyciem skryptu AutoIt do wykonania kodu powłoki, który służy jako kanał do odszyfrowania i uruchomienia DarkGate za pośrednictwem narzędzia szyfrującego (lub modułu ładującego).
Mówiąc konkretnie, moduł ładujący został zaprojektowany tak, aby analizować skrypt AutoIt i wyodrębniać zaszyfrowaną instancję złośliwego oprogramowania. W alternatywnej wersji ataków zamiast pliku MSI obserwuje się skrypt Visual Basic. Skrypt ten z kolei wykorzystuje cURL do pobrania pliku wykonywalnego AutoIt i pliku skryptu. Dokładna metoda dostarczenia skryptu VB pozostaje nieznana.
DarkGate sprzedawane w Dark Web
DarkGate, sprzedawany głównie na nielegalnych forach przez osobę znaną jako RastaFarEye, posiada możliwości pozwalające mu uniknąć wykrycia przez oprogramowanie zabezpieczające. Może zapewnić trwałość poprzez wprowadzanie zmian w rejestrze systemu Windows, zwiększanie uprawnień i kradzież danych z przeglądarek internetowych i innych aplikacji, takich jak Discord i FileZilla.
Ponadto nawiązuje komunikację z serwerem dowodzenia i kontroli (C2) w celu wyświetlania listy plików, przeprowadzania eksfiltracji danych, inicjowania wydobywania kryptowalut, zdalnego przechwytywania zrzutów ekranu i wykonywania innych poleceń.
Szkodnik ten jest dostępny w modelu subskrypcyjnym, a jego ceny wahają się od 1000 dolarów dziennie do 15 000 dolarów miesięcznie, a nawet do 100 000 dolarów rocznie. Autor promuje go jako „najlepsze narzędzie dla pentesterów/redteamerów” i podkreśla jego unikalne cechy. Co ciekawe, wcześniejsze wersje DarkGate zawierały nawet moduł ransomware.
