Multilicenční slevy
Threat Database Malware Malware DarkGate

Malware DarkGate

V roce Mezo v roce Malware
Přeložit do:
Čeština

Na světlo se dostala malspamová kampaň využívající snadno dostupný malware známý jako DarkGate. Výzkumníci z oblasti kybernetické bezpečnosti naznačují, že nárůst aktivity malwaru DarkGate je pravděpodobně způsoben nedávným rozhodnutím vývojáře malwaru nabídnout jej k pronájmu vybrané skupině kyberzločinců. Nasazení této hrozby bylo také spojeno s rozsáhlou kampaní, která využívá kompromitovaná e-mailová vlákna k oklamání příjemců, aby si nevědomky stáhli malware.

Malware DarkGate je dodáván prostřednictvím vícefázového procesu útoku

Útok začíná nalákáním oběti na phishingovou adresu URL, která po kliknutí prochází systémem směrování provozu (TDS). Cílem je nasměrovat nic netušící oběti na užitečné zatížení MSI za určitých specifických podmínek. Jednou z těchto podmínek je přítomnost obnovovací hlavičky v HTTP odpovědi.

Po otevření souboru MSI se spustí vícestupňový proces. Tento proces zahrnuje použití skriptu AutoIt ke spuštění shell kódu, který slouží jako prostředek k dešifrování a spuštění hrozby DarkGate pomocí šifrovače nebo zavaděče. Přesněji řečeno, zavaděč je naprogramován tak, aby analyzoval skript AutoIt a extrahoval z něj šifrovaný náklad.

Byla také pozorována alternativní verze těchto útoků. Místo souboru MSI je použit skript jazyka Visual Basic, který používá cURL k načtení spustitelného souboru AutoIt i souboru skriptu. Přesná metoda použitá k doručení skriptu VB zůstává v současné době neznámá.

DarkGate může provádět četné škodlivé akce na narušených zařízeních

DarkGate se může pochlubit řadou schopností, které mu umožňují vyhnout se detekci bezpečnostním softwarem, zajistit stálost prostřednictvím úprav registru Windows, zvýšit oprávnění a ukrást data z webových prohlížečů a softwarových platforem jako Discord a FileZilla.

Kromě toho naváže komunikaci se serverem Command-and-Control (C2), který umožňuje akce, jako je výčet souborů, extrakce dat, zahájení operací těžby kryptoměn, vzdálené snímání obrazovky a provádění různých příkazů.

Tato hrozba se primárně prodává na podzemních fórech v rámci modelu předplatného. Nabízené cenové body se liší, pohybují se od 1 000 USD za den do 15 000 USD za měsíc a dokonce až do 100 000 USD ročně. Tvůrce malwaru jej propaguje jako „dokonalý nástroj pro pen-testery/červené týmy“, přičemž zdůrazňuje jeho exkluzivní funkce, které se údajně nikde jinde nenacházejí. Je zajímavé, že výzkumníci v oblasti kybernetické bezpečnosti objevili dřívější iterace DarkGate, které také obsahovaly modul ransomwaru.

Nenaleťte na triky používané při phishingových útocích

Phishingové útoky jsou primární cestou pro doručení různých malwarových hrozeb, včetně zlodějů, trojských koní a zavaděčů malwaru. Rozpoznání takových pokusů o phishing je zásadní pro to, abyste zůstali v bezpečí a nevystavovali svá zařízení žádným nebezpečným rizikům v oblasti zabezpečení nebo ochrany soukromí. Zde je několik typických červených vlajek, na které byste si měli dát pozor:

    • Podezřelá adresa odesílatele : Pečlivě zkontrolujte e-mailovou adresu odesílatele. Buďte opatrní, pokud obsahuje překlepy, znaky navíc nebo neodpovídá oficiální doméně organizace, za kterou se vydává.
    • Nespecifikované pozdravy : Phishingové e-maily často používají obecné pozdravy jako 'Vážený uživateli' namísto toho, aby vás oslovovaly vaším jménem. Legitimní organizace obvykle přizpůsobují svou komunikaci.
    • Naléhavý nebo výhružný jazyk : Phishingové e-maily mají tendenci vytvářet pocit naléhavosti nebo strachu, aby vyvolaly okamžitou akci. Mohou tvrdit, že váš účet je pozastaven, nebo budete čelit následkům, pokud nebudete jednat rychle.
    • Neobvyklé žádosti o osobní údaje : Buďte opatrní na e-maily požadující citlivé informace, jako jsou hesla, rodná čísla nebo údaje o kreditních kartách. Legitimní organizace nebudou žádat o takové informace prostřednictvím e-mailu.
    • Neobvyklé přílohy : Neotevírejte přílohy od neznámých odesílatelů. Mohou obsahovat malware. I když se vám příloha zdá povědomá, buďte opatrní, pokud je neočekávaná nebo vás nabádá k okamžité akci.
    • Příliš dobré, aby to byla pravda Nabídky : Phishingové e-maily mohou slibovat neuvěřitelné odměny, ceny nebo nabídky, které vás mají nalákat ke kliknutí na škodlivé odkazy nebo k poskytnutí osobních údajů.
    • Neočekávané odkazy : Buďte opatrní na e-maily, které neočekávaně obsahují odkazy. Místo klikání zadejte do prohlížeče adresu oficiálního webu ručně.
    • Emoční manipulace : Phishingové e-maily se mohou pokusit vyvolat emoce, jako je zvědavost, sympatie nebo vzrušení, aby vám umožnily přístup k odkazům nebo stažení příloh.
    • Nedostatek kontaktních informací : Kontaktní informace obvykle poskytují legitimní organizace. Pokud e-mail tyto informace postrádá nebo obsahuje pouze obecnou e-mailovou adresu, buďte opatrní.

Zůstat obezřetný a vzdělávat se o těchto červených vlajkách může výrazně přispět k ochraně před pokusy o phishing. Pokud obdržíte e-mail, který vzbuzuje podezření, je lepší ověřit jeho legitimitu oficiálními kanály, než podniknete jakékoli kroky.

 

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,882
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...