DarkGate Malware hyrs ut till blivande hackare

En ny malspam-åtgärd har identifierats som distribuerar en lättillgänglig skadlig programvara som kallas DarkGate.

Telekom Security, i en färsk rapport, konstaterade att den ökade aktiviteten av DarkGate malware rimligen kan tillskrivas det faktum att dess utvecklare nyligen har börjat hyra ut den till en utvald grupp av medarbetare.

Den senaste rapporten bygger på de senaste upptäckterna av säkerhetsforskaren Igal Lytzki, som avslöjade en kampanj som kännetecknas av dess storskaliga karaktär. Den här kampanjen utnyttjar komprometterade e-posttrådar för att lura mottagare att ladda ner skadlig programvara.

Överfallet inleds med en vilseledande URL i ett nätfiskeförsök. När du klickar, navigerar den här webbadressen genom ett trafikriktningssystem (TDS) och dirigerar offret till en MSI-nyttolast som utlöses under specifika förhållanden. Dessa villkor involverar närvaron av en uppdateringshuvud i HTTP-svaret.

När MSI-filen öppnas aktiveras en flerstegsprocedur. Detta involverar användningen av ett AutoIt-skript för att exekvera skalkod, som fungerar som en kanal för att dekryptera och starta DarkGate genom en kryptering (eller loader).

För att vara specifik, är laddaren konstruerad för att dissekera AutoIt-skriptet och extrahera den krypterade malware-instansen. I en alternativ version av attackerna observeras ett Visual Basic-skript i stället för MSI-filen. Detta skript använder i sin tur cURL för att hämta AutoIts körbara och skriptfil. Den exakta metoden för att leverera VB-skriptet är fortfarande okänd.

DarkGate säljs på Dark Web

DarkGate, som främst marknadsförs på underjordiska forum av en person känd som RastaFarEye, har kapacitet som gör att den kan undgå upptäckt av säkerhetsprogramvara. Det kan skapa uthållighet genom att göra ändringar i Windows-registret, eskalera privilegier och stjäla data från webbläsare och andra applikationer som Discord och FileZilla.

Dessutom upprättar den kommunikation med en kommando-och-kontroll-server (C2) för att lista filer, utföra dataexfiltrering, initiera brytning av kryptovaluta, fånga skärmdumpar på distans och utföra andra kommandon.

Denna skadliga programvara är tillgänglig genom en prenumerationsmodell, med priser från 1 000 USD per dag till 15 000 USD per månad, och till och med upp till 100 000 USD per år. Författaren marknadsför det som "det ultimata verktyget för pentesters/redteamers" och lyfter fram dess unika egenskaper. Intressant nog inkluderade tidigare versioner av DarkGate till och med en ransomware-modul.