DarkGate矿工可能会将您的密码置于危险之中 - 如何保护自己
两位为enSilo工作的安全研究人员Adi Zeligson和Rotem Kerner最近看到一个名为DarkGate的新恶意软件家族正在飞来飞去。大多数安全产品都没有检测到它,所以他们决定仔细看看 。他们很快意识到他们手上的东西是一个相当复杂的威胁。
专家们已经看到一些VBS文件伪装成为法国和西班牙的用户放弃DarkGate。第一个“洪流”据说正在分发一个西班牙娱乐节目,第二个被命名为欺骗用户认为它包含一集“行尸走肉”。利用用户消费内容而不付费的愿望并不是什么新鲜事,但对于那些额外的东西,骗子们在文件中隐藏了一个额外的功能,据称分发了热门的僵尸启示节目。如果你运行它,它会自动发送一些电子邮件,报告虚假的失败传递给未知数量的用户。如果他们在邮件中打开附件,他们也会感染DarkGate。
Table of Contents
多才多艺的威胁
DarkGate可以执行的任务范围非常广泛,您无法将其真正归类为特定类型的恶意软件。它具有在许多不同方面攻击受害者的能力,并且还具有一些非常好的检测逃避能力。
一旦假的torrent下载DarkGate的配置文件,恶意软件通过修改主机的注册表来实现持久性,然后它继续调用其命令和控制服务器(C&C)。部署了加密货币挖掘模块,但在此之前,DarkGate会检查是否存在某些文件和进程,这些文件和进程表明存在某些安全产品。根据它找到的内容,它会稍微修改一下它的技术,如果它感觉到它在虚拟机或沙箱中,它将完全退出,试图阻止安全专家对其进行分析。
当它运行时,加密货币矿工对用户不可见,但为了确保你根本不注意它,DarkGate有一种绕过UAC的方法(用户访问控制或每次尝试运行时出现的弹出窗口)需要管理权限的应用程序)。
在你的PC上运行加密货币矿工是不太理想的情况,但如果我们必须从数据安全的角度来看待一线希望,它根本不构成任何威胁。可悲的是,DarkGate还有一些其他组件可能会使您的信息处于危险之中。
密码窃取模块
在深入研究源代码之后,enSilo的研究人员发现字符串与他们在查看另一件恶意软件时看到的字符串完全相同 - Golroted。 Golroted以其纯粹的形式,是一个经典的密码窃取者,但对于DarkGate活动,骗子已经改变了配置,这意味着它只针对加密货币钱包。从表面上看,骗子与DarkGate的主要目标是非法获取尽可能多的数字硬币。他们还有很多方法可以做到这一点。
除了采矿作业和潜在的受害者钱包中加密货币的窃听之外,犯罪分子还可以尝试其他在线服务上的被盗密码. 众所周知,人们倾向于重复使用密码,这意味着相同的凭证通常会解锁大量帐户,而访问敏感信息只是一种登录形式。然后,这些敏感信息可以在地下市场上出售, 以获得更多比特币。但即便如此,也不是全部。
DarkGate没有自动驾驶仪
DarkGate是一种罕见的野兽。感染后,大多数恶意软件系列都会联系他们的C&C并发送一些有关主机的信息。安装在C&C上的一个软件分析数据并回复进一步的说明。有了DarkGate,这个软件就丢失了。
相反,恶意软件操作员手动决定下一步应该是什么。根据enSilo的说法,如果骗子决定目标特别感兴趣,他们可以发送一个旨在窃取大量敏感数据的定制后门。在其他情况下,专家们已经看到DarkGate也展示了勒索软件功能。
换句话说,你永远无法知道DarkGate会造成什么样的伤害。但是,您可以非常确定要尽可能远离计算机。你怎么能这样做?
对那些非法下载电视节目并说他们得到了他们应得的东西的人来说,很容易挥手致意,但这对任何人都没有帮助。事实上,盗版内容和种子确实非常危险,但即使你为所看到的一切付费,你仍然可能最终遇到麻烦。不幸的是,这就是当今威胁形势的状态,并且不太可能很快改变。这一切意味着你应该学会更加小心。
