Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό DarkGate

Κακόβουλο λογισμικό DarkGate

Μέχρι το Mezo το Malware
Μετάφραση σε:
Ελληνικά

Μια καμπάνια malspam που χρησιμοποιεί ένα άμεσα διαθέσιμο κακόβουλο λογισμικό, γνωστό ως DarkGate, ήρθε στο φως. Οι ερευνητές στον τομέα της κυβερνοασφάλειας προτείνουν ότι η αύξηση της δραστηριότητας κακόβουλου λογισμικού DarkGate είναι πιθανό να οφείλεται στην πρόσφατη απόφαση του προγραμματιστή κακόβουλου λογισμικού να το προσφέρει προς ενοικίαση σε μια επιλεγμένη ομάδα συνεργατών κυβερνοεγκληματιών. Η ανάπτυξη αυτής της απειλής έχει επίσης συσχετιστεί με μια εκστρατεία μεγάλης κλίμακας που εκμεταλλεύεται τα παραβιασμένα νήματα ηλεκτρονικού ταχυδρομείου για να εξαπατήσει τους παραλήπτες να κατεβάσουν εν αγνοία τους το κακόβουλο λογισμικό.

Το κακόβουλο λογισμικό DarkGate παραδίδεται μέσω μιας διαδικασίας επίθεσης πολλαπλών σταδίων

Η επίθεση ξεκινά παρασύροντας το θύμα σε μια διεύθυνση URL ηλεκτρονικού ψαρέματος, η οποία, μόλις γίνει κλικ, περνά από ένα σύστημα κατεύθυνσης κυκλοφορίας (TDS). Ο στόχος είναι να κατευθύνονται τα ανυποψίαστα θύματα σε ένα ωφέλιμο φορτίο MSI υπό ορισμένες συγκεκριμένες συνθήκες. Μία από αυτές τις συνθήκες είναι η παρουσία μιας κεφαλίδας ανανέωσης στην απόκριση HTTP.

Με το άνοιγμα του αρχείου MSI, ενεργοποιείται μια διαδικασία πολλαπλών σταδίων. Αυτή η διαδικασία περιλαμβάνει τη χρήση ενός σεναρίου AutoIt για την εκτέλεση του shellcode, το οποίο χρησιμεύει ως μέσο για την αποκρυπτογράφηση και την εκκίνηση της απειλής DarkGate μέσω κρυπτογράφησης ή φορτωτή. Για να είμαστε πιο ακριβείς, ο φορτωτής είναι προγραμματισμένος να αναλύει το σενάριο AutoIt και να εξάγει το κρυπτογραφημένο ωφέλιμο φορτίο από αυτό.

Μια εναλλακτική εκδοχή αυτών των επιθέσεων έχει επίσης παρατηρηθεί. Αντί για ένα αρχείο MSI, χρησιμοποιείται μια δέσμη ενεργειών της Visual Basic, η οποία χρησιμοποιεί το cURL για να ανακτήσει τόσο το εκτελέσιμο αρχείο AutoIt όσο και το αρχείο δέσμης ενεργειών. Η ακριβής μέθοδος που χρησιμοποιείται για την παράδοση του VB Script παραμένει προς το παρόν άγνωστη.

Το DarkGate μπορεί να εκτελέσει πολυάριθμες επιβλαβείς ενέργειες στις παραβιασμένες συσκευές

Το DarkGate μπορεί να υπερηφανεύεται για μια σειρά δυνατοτήτων που του επιτρέπουν να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας, να δημιουργήσει επιμονή μέσω τροποποιήσεων του μητρώου των Windows, να αυξήσει τα προνόμια και να κλέψει δεδομένα από προγράμματα περιήγησης ιστού και πλατφόρμες λογισμικού όπως το Discord και το FileZilla.

Επιπλέον, δημιουργεί επικοινωνία με έναν διακομιστή Command-and-Control (C2), επιτρέποντας ενέργειες όπως η απαρίθμηση αρχείων, η εξαγωγή δεδομένων, η έναρξη λειτουργιών εξόρυξης κρυπτονομισμάτων, η απομακρυσμένη λήψη στιγμιότυπου οθόνης και η εκτέλεση διαφόρων εντολών.

Αυτή η απειλή διατίθεται κυρίως σε υπόγεια φόρουμ υπό ένα μοντέλο συνδρομής. Τα προσφερόμενα σημεία τιμών ποικίλλουν και κυμαίνονται από 1.000 $ την ημέρα έως 15.000 $ ανά μήνα και ακόμη και έως 100.000 $ ετησίως. Ο δημιουργός του κακόβουλου λογισμικού το προωθεί ως το "απόλυτο εργαλείο για δοκιμαστές στυλό/κόκκινους συνεργάτες", επισημαίνοντας τα αποκλειστικά χαρακτηριστικά του που υποτίθεται ότι δεν βρίσκονται πουθενά αλλού. Είναι ενδιαφέρον ότι οι ερευνητές της κυβερνοασφάλειας ανακάλυψαν παλαιότερες επαναλήψεις του DarkGate που περιλάμβαναν επίσης μια ενότητα ransomware.

Μην πέφτετε στα κόλπα που χρησιμοποιούνται στις επιθέσεις phishing

Οι επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing) είναι μια κύρια οδός παράδοσης για μια ποικιλία απειλών κακόβουλου λογισμικού, συμπεριλαμβανομένων των κλεφτών, των trojans και των φορτωτών κακόβουλου λογισμικού. Η αναγνώριση τέτοιων προσπαθειών phishing είναι ζωτικής σημασίας για να παραμείνετε ασφαλείς και να μην εκθέσετε τις συσκευές σας σε επικίνδυνους κινδύνους για την ασφάλεια ή το απόρρητο. Ακολουθούν ορισμένες τυπικές κόκκινες σημαίες που πρέπει να γνωρίζετε:

  • Ύποπτη διεύθυνση αποστολέα : Ελέγξτε προσεκτικά τη διεύθυνση email του αποστολέα. Να είστε προσεκτικοί εάν περιέχει ορθογραφικά λάθη, επιπλέον χαρακτήρες ή δεν ταιριάζει με τον επίσημο τομέα του οργανισμού από τον οποίο ισχυρίζεται ότι προέρχεται.
  • Απροσδιόριστοι χαιρετισμοί : Τα μηνύματα ηλεκτρονικού "ψαρέματος" συχνά χρησιμοποιούν γενικούς χαιρετισμούς όπως "Αγαπητέ χρήστη" αντί να σας απευθύνουν το όνομά σας. Οι νόμιμοι οργανισμοί συνήθως εξατομικεύουν την επικοινωνία τους.
  • Επείγουσα ή Απειλητική Γλώσσα : Τα μηνύματα ηλεκτρονικού "ψαρέματος" τείνουν να δημιουργούν μια αίσθηση επείγοντος ή φόβου για να ζητήσουν άμεση δράση. Μπορεί να ισχυριστούν ότι ο λογαριασμός σας έχει τεθεί σε αναστολή, διαφορετικά θα αντιμετωπίσετε συνέπειες εκτός εάν ενεργήσετε γρήγορα.
  • Ασυνήθιστα αιτήματα για προσωπικά στοιχεία : Να είστε προσεκτικοί με τα μηνύματα ηλεκτρονικού ταχυδρομείου που ζητούν ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης, αριθμούς κοινωνικής ασφάλισης ή στοιχεία πιστωτικής κάρτας. Οι νόμιμοι οργανισμοί δεν θα ζητήσουν τέτοιες πληροφορίες μέσω email.
  • Ασυνήθιστα συνημμένα : Μην ανοίγετε συνημμένα από άγνωστους αποστολείς. Θα μπορούσαν να περιέχουν κακόβουλο λογισμικό. Ακόμα κι αν το συνημμένο σας φαίνεται γνωστό, να είστε προσεκτικοί εάν είναι απροσδόκητο ή σας παροτρύνει να αναλάβετε άμεση δράση.
  • Πολύ καλές για να είναι αληθινές Προσφορές : Τα μηνύματα ηλεκτρονικού ψαρέματος ενδέχεται να υπόσχονται απίστευτες ανταμοιβές, βραβεία ή προσφορές που έχουν σκοπό να σας παρασύρουν να κάνετε κλικ σε κακόβουλους συνδέσμους ή να παρέχετε προσωπικές πληροφορίες.
  • Απροσδόκητοι σύνδεσμοι : Να είστε προσεκτικοί με μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν απροσδόκητα συνδέσμους. Αντί να κάνετε κλικ, πληκτρολογήστε μη αυτόματα τη διεύθυνση του επίσημου ιστότοπου στο πρόγραμμα περιήγησής σας.
  • Συναισθηματική χειραγώγηση : Τα μηνύματα ηλεκτρονικού ψαρέματος μπορεί να προσπαθήσουν να προκαλέσουν συναισθήματα όπως περιέργεια, συμπάθεια ή ενθουσιασμό για να σας κάνουν να αποκτήσετε πρόσβαση σε συνδέσμους ή να κατεβάσετε συνημμένα.
  • Έλλειψη στοιχείων επικοινωνίας : Οι νόμιμοι οργανισμοί συνήθως παρέχουν στοιχεία επικοινωνίας. Εάν ένα email στερείται αυτών των πληροφοριών ή παρέχει μόνο μια γενική διεύθυνση email, να είστε προσεκτικοί.

Το να παραμένετε σε εγρήγορση και να εκπαιδεύσετε τον εαυτό σας σχετικά με αυτές τις κόκκινες σημαίες μπορεί να βοηθήσει πολύ στην προστασία σας από απόπειρες phishing. Εάν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που προκαλεί υποψίες, είναι προτιμότερο να επαληθεύσετε τη νομιμότητά του μέσω των επίσημων καναλιών πριν προβείτε σε οποιαδήποτε ενέργεια.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...