DarkGate 惡意軟件出租給有抱負的黑客

已發現新的惡意垃圾郵件操作部署了一種名為 DarkGate 的現成惡意軟件。

Telekom Security 在最近的一份報告中表示，DarkGate 惡意軟件活動的增加可以合理地歸因於其開發人員最近開始將其出租給選定的一組員工。

這份最新報告以安全研究人員 Igal Lytzki 最近的發現為基礎，他發現了一場大規模的活動。該活動利用受損的電子郵件線程來欺騙收件人下載惡意軟件。

攻擊以網絡釣魚嘗試中的欺騙性 URL 發起。單擊後，此 URL 將通過流量引導系統 (TDS) 進行導航，將受害者引導至在特定條件下觸發的 MSI 有效負載。這些條件涉及 HTTP 響應中存在刷新標頭。

打開 MSI 文件後，將激活一個多步驟過程。這涉及使用 AutoIt 腳本來執行 shellcode，該腳本充當通過加密程序（或加載程序）解密和啟動 DarkGate 的管道。

具體來說，加載程序旨在剖析 AutoIt 腳本並提取加密的惡意軟件實例。在攻擊的另一個版本中，觀察到 Visual Basic 腳本代替了 MSI 文件。該腳本又使用 cURL 來獲取 AutoIt 可執行文件和腳本文件。交付 VB 腳本的精確方法仍然未知。

DarkGate 在暗網上出售

DarkGate 主要由名為 RastaFarEye 的個人在地下論壇上銷售，擁有使其能夠逃避安全軟件檢測的功能。它可以通過更改 Windows 註冊表、提升權限以及從 Web 瀏覽器和其他應用程序（例如 Discord 和 FileZilla）竊取數據來建立持久性。

此外，它還與命令和控制（C2）服務器建立通信，以列出文件、進行數據洩露、啟動加密貨幣挖掘、遠程捕獲屏幕截圖以及執行其他命令。

該惡意軟件通過訂閱模式提供，價格從每天 1,000 美元到每月 15,000 美元不等，甚至每年高達 100,000 美元。作者將其宣傳為“滲透測試人員/紅隊人員的終極工具”，並強調了其獨特的功能。有趣的是，DarkGate 的早期版本甚至包含勒索軟件模塊。