DarkGate Malware
En malspam-kampagne, der bruger en let tilgængelig malware kendt som DarkGate, er blevet bragt frem i lyset. Cybersikkerhedsforskere antyder, at stigningen i DarkGate malware-aktivitet sandsynligvis skyldes malware-udviklerens nylige beslutning om at tilbyde det til leje til en udvalgt gruppe af cyberkriminelle partnere. Udrulningen af denne trussel er også blevet forbundet med en storstilet kampagne, der udnytter kompromitterede e-mail-tråde til at narre modtagere til ubevidst at downloade malwaren.
Indholdsfortegnelse
DarkGate-malwaren leveres via en flertrins angrebsproces
Angrebet indledes ved at lokke offeret til en phishing-URL, som, når den bliver klikket, går gennem et trafikretningssystem (TDS). Målet er at dirigere de intetanende ofre til en MSI-nyttelast under visse specifikke forhold. En af disse betingelser er tilstedeværelsen af en refresh header i HTTP-svaret.
Ved åbning af MSI-filen udløses en flertrinsproces. Denne proces involverer at bruge et AutoIt-script til at udføre shellcode, som tjener som et middel til at dekryptere og starte DarkGate-truslen via en kryptering eller loader. For at være mere præcis er loaderen programmeret til at analysere AutoIt-scriptet og udtrække den krypterede nyttelast fra det.
En alternativ version af disse angreb er også blevet observeret. I stedet for en MSI-fil anvendes et Visual Basic Script, som bruger cURL til at hente både AutoIt eksekverbare og script-filen. Den nøjagtige metode, der bruges til at levere VB-scriptet, er i øjeblikket ukendt.
DarkGate kan udføre adskillige skadelige handlinger på de brudte enheder
DarkGate kan prale af en række funktioner, der gør det muligt at undgå registrering af sikkerhedssoftware, etablere vedholdenhed gennem ændringer i Windows registreringsdatabasen, øge privilegier og stjæle data fra webbrowsere og softwareplatforme som Discord og FileZilla.
Ydermere etablerer den kommunikation med en Command-and-Control-server (C2), hvilket muliggør handlinger såsom filoptælling, dataudtræk, initiering af cryptocurrency-mineoperationer, fjernoptagelse af skærmbilleder og udførelse af forskellige kommandoer.
Denne trussel markedsføres primært på underjordiske fora under en abonnementsmodel. De tilbudte prispunkter varierer fra $1.000 pr. dag til $15.000 pr. måned og endda op til $100.000 årligt. Skaberen af malwaren promoverer den som det "ultimate værktøj til pennetestere/red-teamers", og fremhæver dens eksklusive funktioner, der angiveligt ikke findes andre steder. Interessant nok har cybersikkerhedsforskere opdaget tidligere iterationer af DarkGate, der også inkluderede et ransomware-modul.
Fald ikke for de tricks, der bruges i phishing-angreb
Phishing-angreb er en primær leveringsvej for en række malware-trusler, herunder tyvere, trojanske heste og malware-indlæsere. At genkende sådanne phishing-forsøg er afgørende for at forblive sikker og ikke udsætte dine enheder for farlige sikkerheds- eller privatlivsrisici. Her er nogle typiske røde flag, du skal være opmærksom på:
- Mistænkelig afsenderadresse : Tjek omhyggeligt afsenderens e-mailadresse. Vær forsigtig, hvis den indeholder stavefejl, ekstra tegn eller ikke matcher det officielle domæne for den organisation, den hævder at være fra.
- Uspecificerede hilsner : Phishing-e-mails bruger ofte generiske hilsner som 'Kære bruger' i stedet for at adressere dig ved dit navn. Legitime organisationer personaliserer typisk deres kommunikation.
- Haster eller truende sprog : Phishing-e-mails har en tendens til at skabe en følelse af uopsættelighed eller frygt for at tilskynde til øjeblikkelig handling. De kan hævde, at din konto er suspenderet, eller du vil stå over for konsekvenser, medmindre du handler hurtigt.
- Usædvanlige anmodninger om personlige oplysninger : Vær forsigtig med e-mails, der beder om følsomme oplysninger som adgangskoder, CPR-numre eller kreditkortoplysninger. Legitime organisationer vil ikke bede om sådanne oplysninger via e-mail.
- Usædvanlige vedhæftede filer : Åbn ikke vedhæftede filer fra ukendte afsendere. De kan indeholde malware. Selvom den vedhæftede fil virker bekendt, skal du være forsigtig, hvis den er uventet eller opfordrer dig til at handle med det samme.
- Too Good to Be True Tilbud : Phishing-e-mails lover måske utrolige belønninger, præmier eller tilbud, der har til formål at lokke dig til at klikke på ondsindede links eller give personlige oplysninger.
- Uventede links : Vær forsigtig med e-mails, der uventet indeholder links. I stedet for at klikke, skal du manuelt indtaste den officielle hjemmesides adresse i din browser.
- Følelsesmæssig manipulation : Phishing-e-mails kan forsøge at fremkalde følelser som nysgerrighed, sympati eller begejstring for at få dig til at få adgang til links eller downloade vedhæftede filer.
- Manglende kontaktoplysninger : Legitime organisationer giver normalt kontaktoplysninger. Hvis en e-mail mangler disse oplysninger eller kun indeholder en generisk e-mailadresse, skal du være forsigtig.
Ved at være på vagt og uddanne dig selv om disse røde flag kan du beskytte dig selv mod phishing-forsøg. Hvis du modtager en e-mail, der giver anledning til mistanke, er det bedre at bekræfte dens legitimitet gennem officielle kanaler, før du foretager dig noget.
