DarkGate礦工可能會將您的密碼置於危險之中 - 如何保護自己
兩位為enSilo工作的安全研究人員Adi Zeligson和Rotem Kerner最近看到一個名為DarkGate的新惡意軟件家族正在飛來飛去。大多數安全產品都沒有檢測到它,所以他們決定仔細看看 。他們很快意識到他們手上的東西是一個相當複雜的威脅。
專家們已經看到一些VBS文件偽裝成為法國和西班牙的用戶放棄DarkGate。第一個“洪流”據說正在分發一個西班牙娛樂節目,第二個被命名為欺騙用戶認為它包含一集“行屍走肉”。利用用戶消費內容而不付費的願望並不是什麼新鮮事,但對於那些額外的東西,騙子們在文件中隱藏了一個額外的功能,據稱分發了熱門的殭屍啟示節目。如果你運行它,它會自動發送一些電子郵件,報告虛假的失敗傳遞給未知數量的用戶。如果他們在郵件中打開附件,他們也會感染DarkGate。
Table of Contents
多才多藝的威脅
DarkGate可以執行的任務範圍非常廣泛,您無法將其真正歸類為特定類型的惡意軟件。它具有在許多不同方面攻擊受害者的能力,並且還具有一些非常好的檢測逃避能力。
一旦假的torrent下載DarkGate的配置文件,惡意軟件通過修改主機的註冊表來實現持久性,然後它繼續調用其命令和控制服務器(C&C)。部署了加密貨幣挖掘模塊,但在此之前,DarkGate會檢查是否存在某些文件和進程,這些文件和進程表明存在某些安全產品。根據它找到的內容,它會稍微修改一下它的技術,如果它感覺到它在虛擬機或沙箱中,它將完全退出,試圖阻止安全專家對其進行分析。
當它運行時,加密貨幣礦工對用戶不可見,但為了確保你根本不注意它,DarkGate有一種繞過UAC的方法(用戶訪問控製或每次嘗試運行時出現的彈出窗口)需要管理權限的應用程序)。
在你的PC上運行加密貨幣礦工是不太理想的情況,但如果我們必須從數據安全的角度來看待一線希望,它根本不構成任何威脅。可悲的是,DarkGate還有一些其他組件可能會使您的信息處於危險之中。
密碼竊取模塊
在深入研究源代碼之後,enSilo的研究人員發現字符串與他們在查看另一件惡意軟件時看到的字符串完全相同 - Golroted。 Golroted以其純粹的形式,是一個經典的密碼竊取者,但對於DarkGate活動,騙子已經改變了配置,這意味著它只針對加密貨幣錢包。從表面上看,騙子與DarkGate的主要目標是非法獲取盡可能多的數字硬幣。他們還有很多方法可以做到這一點。
除了採礦作業和潛在的受害者錢包中加密貨幣的竊聽之外,犯罪分子還可以嘗試其他在線服務上的被盜密碼. 眾所周知,人們傾向於重複使用密碼,這意味著相同的憑證通常會解鎖大量帳戶,而訪問敏感信息只是一種登錄形式。然後,這些敏感信息可以在地下市場上出售, 以獲得更多比特幣。但即便如此,也不是全部。
DarkGate沒有自動駕駛儀
DarkGate是一種罕見的野獸。感染後,大多數惡意軟件系列都會聯繫他們的C&C並發送一些有關主機的信息。安裝在C&C上的一個軟件分析數據並回復進一步的說明。有了DarkGate,這個軟件就丟失了。
相反,惡意軟件操作員手動決定下一步應該是什麼。根據enSilo的說法,如果騙子決定目標特別感興趣,他們可以發送一個旨在竊取大量敏感數據的定制後門。在其他情況下,專家們已經看到DarkGate也展示了勒索軟件功能。
換句話說,你永遠無法知道DarkGate會造成什麼樣的傷害。但是,您可以非常確定要盡可能遠離計算機。你怎麼能這樣做?
對那些非法下載電視節目並說他們得到了他們應得的東西的人來說,很容易揮手致意,但這對任何人都沒有幫助。事實上,盜版內容和種子確實非常危險,但即使你為所看到的一切付費,你仍然可能最終遇到麻煩。不幸的是,這就是當今威脅形勢的狀態,並且不太可能很快改變。這一切意味著你應該學會更加小心。
