Зловреден софтуер DarkGate

Беше разкрита злонамерена спам кампания, използваща лесно достъпен зловреден софтуер, известен като DarkGate. Изследователите на киберсигурността предполагат, че увеличаването на активността на зловреден софтуер DarkGate вероятно се дължи на неотдавнашното решение на разработчика на зловреден софтуер да го предложи под наем на избрана група партньори от киберпрестъпници. Разгръщането на тази заплаха също е свързано с широкомащабна кампания, която използва компрометирани имейл нишки, за да подмами получателите да изтеглят несъзнателно зловредния софтуер.

Зловреден софтуер DarkGate се доставя чрез многоетапен процес на атака

Атаката започва, като примамва жертвата към фишинг URL адрес, който при кликване преминава през система за насочване на трафика (TDS). Целта е нищо неподозиращите жертви да бъдат насочени към полезен товар на MSI при определени специфични условия. Едно от тези условия е наличието на заглавка за опресняване в HTTP отговора.

При отваряне на MSI файла се задейства многоетапен процес. Този процес включва използване на скрипт AutoIt за изпълнение на shellcode, който служи като средство за декриптиране и стартиране на заплахата DarkGate чрез криптър или зареждащ механизъм. За да бъдем по-точни, товарачът е програмиран да анализира скрипта AutoIt и да извлече криптирания полезен товар от него.

Наблюдавана е и алтернативна версия на тези атаки. Вместо MSI файл се използва Visual Basic Script, който използва cURL за извличане както на изпълнимия файл на AutoIt, така и на скриптовия файл. Точният метод, използван за доставяне на VB скрипта, в момента остава неизвестен.

DarkGate може да извършва многобройни вредни действия на пробитите устройства

DarkGate може да се похвали с набор от възможности, които му позволяват да избегне откриването от софтуер за сигурност, да установи устойчивост чрез модификации на системния регистър на Windows, да повиши привилегиите и да краде данни от уеб браузъри и софтуерни платформи като Discord и FileZilla.

Освен това той установява комуникация със сървър за командване и управление (C2), позволявайки действия като изброяване на файлове, извличане на данни, иницииране на операции за добив на криптовалута, дистанционно заснемане на екранна снимка и изпълнение на различни команди.

Тази заплаха се предлага предимно в подземни форуми под модел на абонамент. Предлаганите ценови точки варират от $1000 на ден до $15 000 на месец и дори до $100 000 годишно. Създателят на зловреден софтуер го популяризира като „най-добрия инструмент за тестери на писалка/червени отбори“, подчертавайки изключителните му функции, за които се предполага, че не се срещат никъде другаде. Интересното е, че изследователите на киберсигурността са открили по-ранни итерации на DarkGate, които също включват модул за рансъмуер.

Не се поддавайте на триковете, използвани при фишинг атаки

Фишинг атаките са основен път за доставка на различни заплахи от зловреден софтуер, включително крадци, троянски коне и програми за зареждане на зловреден софтуер. Разпознаването на такива опити за фишинг е от решаващо значение, за да сте в безопасност и да не излагате устройствата си на опасни рискове за сигурността или поверителността. Ето някои типични червени знамена, за които трябва да знаете:

• • Подозрителен адрес на изпращача : Проверете внимателно имейл адреса на подателя. Бъдете внимателни, ако съдържа правописни грешки, допълнителни знаци или не съответства на официалния домейн на организацията, от която твърди, че е от.

• • Неопределени поздрави : Фишинг имейлите често използват общи поздрави като „Уважаеми потребител“, вместо да се обръщат към вас с вашето име. Легитимните организации обикновено персонализират комуникацията си.

• • Спешен или заплашителен език : Фишинг имейлите обикновено създават усещане за неотложност или страх, за да подтикнат към незабавно действие. Те могат да твърдят, че акаунтът ви е спрян или ще понесете последствия, освен ако не действате бързо.

• • Необичайни искания за лична информация : Бъдете внимателни с имейли, които искат чувствителна информация като пароли, номера на социално осигуряване или данни за кредитна карта. Законните организации няма да поискат такава информация по имейл.

• • Необичайни прикачени файлове : Не отваряйте прикачени файлове от неизвестни податели. Може да съдържат зловреден софтуер. Дори ако прикаченият файл изглежда познат, бъдете внимателни, ако е неочакван или ви подтиква да предприемете незабавни действия.

• • Твърде добри, за да са истински оферти : Фишинг имейлите може да обещават невероятни награди, награди или оферти, които имат за цел да ви подмамят да щракнете върху злонамерени връзки или да предоставите лична информация.

• • Неочаквани връзки : Бъдете внимателни с имейли, които неочаквано съдържат връзки. Вместо да щракнете, въведете ръчно адреса на официалния уебсайт в браузъра си.

• • Емоционална манипулация : Фишинг имейлите може да се опитат да предизвикат емоции като любопитство, съчувствие или вълнение, за да ви накарат да получите достъп до връзки или да изтеглите прикачени файлове.

• • Липса на информация за контакт : Легитимните организации обикновено предоставят информация за контакт. Ако даден имейл не съдържа тази информация или предоставя само общ имейл адрес, бъдете внимателни.

Да останете бдителни и да се информирате за тези червени знамена може да помогне много за защитата ви от опити за фишинг. Ако получите имейл, който поражда съмнения, по-добре е да проверите неговата легитимност по официални канали, преди да предприемете каквото и да е действие.