DarkGate 恶意软件出租给有抱负的黑客

已发现新的恶意垃圾邮件操作部署了一种名为 DarkGate 的现成恶意软件。

Telekom Security 在最近的一份报告中表示，DarkGate 恶意软件活动的增加可以合理地归因于其开发人员最近开始将其出租给选定的一组员工。

这份最新报告以安全研究人员 Igal Lytzki 最近的发现为基础，他发现了一场大规模的活动。该活动利用受损的电子邮件线程来欺骗收件人下载恶意软件。

攻击以网络钓鱼尝试中的欺骗性 URL 发起。单击后，此 URL 将通过流量引导系统 (TDS) 进行导航，将受害者引导至在特定条件下触发的 MSI 有效负载。这些条件涉及 HTTP 响应中存在刷新标头。

打开 MSI 文件后，将激活一个多步骤过程。这涉及使用 AutoIt 脚本来执行 shellcode，该脚本充当通过加密程序（或加载程序）解密和启动 DarkGate 的管道。

具体来说，加载程序旨在剖析 AutoIt 脚本并提取加密的恶意软件实例。在攻击的另一个版本中，观察到 Visual Basic 脚本代替了 MSI 文件。该脚本又使用 cURL 来获取 AutoIt 可执行文件和脚本文件。交付 VB 脚本的精确方法仍然未知。

DarkGate 在暗网上出售

DarkGate 主要由名为 RastaFarEye 的个人在地下论坛上销售，拥有使其能够逃避安全软件检测的功能。它可以通过更改 Windows 注册表、提升权限以及从 Web 浏览器和其他应用程序（例如 Discord 和 FileZilla）窃取数据来建立持久性。

此外，它还与命令和控制（C2）服务器建立通信，以列出文件、进行数据泄露、启动加密货币挖掘、远程捕获屏幕截图以及执行其他命令。

该恶意软件通过订阅模式提供，价格从每天 1,000 美元到每月 15,000 美元不等，甚至每年高达 100,000 美元。作者将其宣传为“渗透测试人员/红队人员的终极工具”，并强调了其独特的功能。有趣的是，DarkGate 的早期版本甚至包含勒索软件模块。