Вредоносное ПО DarkGate сдано в аренду начинающим хакерам

Была обнаружена новая спам-операция, в ходе которой было развернуто легкодоступное вредоносное программное обеспечение, известное как DarkGate.

Telekom Security в недавнем отчете заявила, что возросшую активность вредоносного ПО DarkGate можно обоснованно объяснить тем фактом, что его разработчик недавно начал сдавать его в аренду избранной группе партнеров.

Этот последний отчет основан на недавних открытиях, сделанных исследователем безопасности Игалом Лицки, который раскрыл кампанию, характеризующуюся ее крупномасштабным характером. Эта кампания использует скомпрометированные потоки электронной почты, чтобы обманом заставить получателей загрузить вредоносное ПО.

Атака начинается с обманного URL-адреса в рамках попытки фишинга. При нажатии на этот URL-адрес проходит через систему направления трафика (TDS), направляя жертву к полезной нагрузке MSI, которая активируется при определенных условиях. Эти условия предполагают наличие заголовка обновления в ответе HTTP.

При открытии файла MSI активируется многоэтапная процедура. Это предполагает использование сценария AutoIt для выполнения шеллкода, который служит каналом для расшифровки и запуска DarkGate через шифровальщик (или загрузчик).

В частности, загрузчик предназначен для анализа сценария AutoIt и извлечения зашифрованного экземпляра вредоносного ПО. В альтернативной версии атак вместо файла MSI наблюдается сценарий Visual Basic. Этот сценарий, в свою очередь, использует cURL для получения исполняемого файла AutoIt и файла сценария. Точный метод доставки сценария VB остается неизвестным.

DarkGate продается в даркнете

DarkGate, который в основном продается на подпольных форумах человеком, известным как RastaFarEye, обладает возможностями, которые позволяют ему ускользать от обнаружения программным обеспечением безопасности. Он может обеспечить постоянство, внося изменения в реестр Windows, повышая привилегии и похищая данные из веб-браузеров и других приложений, таких как Discord и FileZilla.

Кроме того, он устанавливает связь с сервером управления и контроля (C2) для составления списка файлов, кражи данных, запуска майнинга криптовалюты, удаленного создания снимков экрана и выполнения других команд.

Это вредоносное ПО доступно по модели подписки, цены варьируются от 1000 долларов США в день до 15 000 долларов США в месяц и даже до 100 000 долларов США в год. Автор пропагандирует его как «идеальный инструмент для пентестеров/редтимеров» и подчеркивает его уникальные особенности. Интересно, что более ранние версии DarkGate даже включали модуль для вымогателей.