Descomptes multi-llicència
Threat Database Malware Programari maliciós DarkGate

Programari maliciós DarkGate

El Mezo el Malware
Traduir a:
Català

S'ha posat a la llum una campanya de malspam que utilitza un programari maliciós fàcilment disponible conegut com DarkGate. Els investigadors de ciberseguretat suggereixen que l'augment de l'activitat de programari maliciós DarkGate es deu probablement a la decisió recent del desenvolupador de programari maliciós d'oferir-lo de lloguer a un grup selecte de socis cibercriminals. El desplegament d'aquesta amenaça també s'ha associat amb una campanya a gran escala que explota fils de correu electrònic compromesos per enganyar els destinataris perquè baixin el programari maliciós sense saber-ho.

El programari maliciós DarkGate es lliura mitjançant un procés d’atac en diverses etapes

L'atac s'inicia atraient la víctima a un URL de pesca, que, en fer clic, passa per un sistema de direcció de trànsit (TDS). L'objectiu és dirigir les víctimes insospitades a una càrrega útil MSI en determinades condicions específiques. Una d'aquestes condicions és la presència d'una capçalera d'actualització a la resposta HTTP.

En obrir el fitxer MSI, s'activa un procés de diverses etapes. Aquest procés implica l'ús d'un script AutoIt per executar el codi shell, que serveix com a mitjà per desxifrar i llançar l'amenaça DarkGate mitjançant un encriptador o carregador. Per ser més precisos, el carregador està programat per analitzar l'script AutoIt i extreure'n la càrrega útil xifrada.

També s'ha observat una versió alternativa d'aquests atacs. En lloc d'un fitxer MSI, s'utilitza un script de Visual Basic, que utilitza cURL per recuperar tant l'executable d'AutoIt com el fitxer d'script. El mètode exacte utilitzat per lliurar l'script VB encara es desconeix actualment.

DarkGate pot realitzar nombroses accions perjudicials als dispositius trencats

DarkGate compta amb una sèrie de capacitats que li permeten evadir la detecció del programari de seguretat, establir la persistència mitjançant modificacions del Registre de Windows, elevar els privilegis i robar dades de navegadors web i plataformes de programari com Discord i FileZilla.

A més, estableix comunicació amb un servidor d'ordres i control (C2), que permet accions com l'enumeració de fitxers, l'extracció de dades, l'inici d'operacions de mineria de criptomoneda, la captura de captures de pantalla remotes i l'execució de diverses ordres.

Aquesta amenaça es comercialitza principalment en fòrums subterranis sota un model de subscripció. Els preus oferts varien, des dels 1.000 dòlars al dia fins als 15.000 dòlars al mes i fins i tot fins a 100.000 dòlars anuals. El creador del programari maliciós el promociona com l'"eina definitiva per a provadors de ploma/equips vermells", destacant les seves característiques exclusives que suposadament no es troben a cap altre lloc. Curiosament, els investigadors de ciberseguretat han descobert iteracions anteriors de DarkGate que també incloïen un mòdul de ransomware.

No caigueu en els trucs utilitzats en els atacs de pesca

Els atacs de pesca són una via de lliurament principal per a diverses amenaces de programari maliciós, com ara robadors, troians i carregadors de programari maliciós. Reconèixer aquests intents de pesca és crucial per mantenir-se segur i no exposar els vostres dispositius a cap risc perillós de seguretat o privadesa. Aquestes són algunes de les banderes vermelles típiques que cal tenir en compte:

    • Adreça del remitent sospitós : comproveu acuradament l'adreça de correu electrònic del remitent. Aneu amb compte si conté faltes d'ortografia, caràcters addicionals o no coincideix amb el domini oficial de l'organització de la qual diu ser.
    • Salutacions no especificades : els correus electrònics de pesca sovint utilitzen salutacions genèriques com "Estimat usuari" en lloc d'adreçar-se a vostè pel seu nom. Les organitzacions legítimes solen personalitzar la seva comunicació.
    • Llenguatge urgent o amenaçador : els correus electrònics de pesca tendeixen a crear una sensació d'urgència o por que demana una acció immediata. Poden afirmar que el vostre compte està suspès o patireu conseqüències tret que actueu ràpidament.
    • Sol·licituds inusuals d'informació personal : aneu amb compte amb els correus electrònics que demanen informació sensible com ara contrasenyes, números de la Seguretat Social o dades de la targeta de crèdit. Les organitzacions legítimes no demanaran aquesta informació per correu electrònic.
    • Fitxers adjunts inusuals : no obriu fitxers adjunts de remitents desconeguts. Podrien contenir programari maliciós. Fins i tot si l'adjunt us sembli familiar, aneu amb compte si és inesperat o us demana a prendre mesures immediates.
    • Ofertes massa bones per ser veritables : els correus electrònics de pesca poden prometre recompenses, premis o ofertes increïbles amb la intenció d'induir-vos a fer clic a enllaços maliciosos o a proporcionar informació personal.
    • Enllaços inesperats : aneu amb compte amb els correus electrònics que contenen enllaços de manera inesperada. En lloc de fer clic, escriviu manualment l'adreça del lloc web oficial al vostre navegador.
    • Manipulació emocional : els correus electrònics de pesca poden intentar evocar emocions com la curiositat, la simpatia o l'entusiasme per fer-vos accedir als enllaços o baixar fitxers adjunts.
    • Manca d'informació de contacte : les organitzacions legítimes solen proporcionar informació de contacte. Si un correu electrònic no té aquesta informació o només proporciona una adreça electrònica genèrica, aneu amb compte.

Mantenir-se vigilant i educar-se sobre aquestes banderes vermelles pot ajudar molt a protegir-se dels intents de pesca. Si rebeu un correu electrònic que genera sospites, és millor comprovar-ne la legitimitat a través dels canals oficials abans de prendre cap acció.

 

Tendència

Més vist

Carregant...