DarkGate'i pahavara

Päevavalgele on toodud rämpspostikampaania, mis kasutab hõlpsasti kättesaadavat DarkGate'i pahavara. Küberjulgeoleku teadlased viitavad, et DarkGate'i pahavara aktiivsuse kasv on tõenäoliselt tingitud pahavara arendaja hiljutisest otsusest pakkuda seda valitud küberkurjategijate partnerite rühmale rentimiseks. Selle ohu kasutuselevõttu on seostatud ka laiaulatusliku kampaaniaga, mis kasutab ära ohustatud meililõime, et petta adressaate pahavara teadmatult alla laadima.

DarkGate’i pahavara tarnitakse mitmeastmelise ründeprotsessi kaudu

Rünnak saab alguse, meelitades ohvrit andmepüügi URL-ile, mis klõpsamisel läbib liikluse suunamise süsteemi (TDS). Eesmärk on suunata pahaaimamatud ohvrid teatud kindlatel tingimustel MSI kasuliku koorma juurde. Üks neist tingimustest on värskenduspäise olemasolu HTTP vastuses.

MSI-faili avamisel käivitatakse mitmeastmeline protsess. See protsess hõlmab AutoIt skripti kasutamist shellkoodi käivitamiseks, mis on vahend DarkGate'i ohu dekrüpteerimiseks ja käivitamiseks krüpteri või laadija kaudu. Täpsemalt öeldes on laadija programmeeritud analüüsima AutoIt skripti ja eraldama sellest krüptitud kasuliku koormuse.

Täheldatud on ka nende rünnakute alternatiivset versiooni. MSI-faili asemel kasutatakse Visual Basic Scripti, mis kasutab cURL-i nii AutoIt käivitatava kui ka skriptifaili toomiseks. VB-skripti edastamiseks kasutatud täpne meetod on praegu teadmata.

DarkGate võib rikutud seadmetega sooritada mitmeid kahjulikke toiminguid

DarkGate'il on mitmeid võimalusi, mis võimaldavad tal vältida turvatarkvara tuvastamist, luua püsivust Windowsi registri muudatuste kaudu, tõsta privileege ja varastada andmeid veebibrauseritelt ja tarkvaraplatvormidelt, nagu Discord ja FileZilla.

Lisaks loob see suhtluse Command-and-Control (C2) serveriga, võimaldades selliseid toiminguid nagu failide loendamine, andmete ekstraheerimine, krüptovaluuta kaevandamise alustamine, ekraanipiltide kaughõive ja erinevate käskude täitmine.

Seda ohtu turustatakse peamiselt maa-alustes foorumites tellimismudeli alusel. Pakutavad hinnapunktid varieeruvad, ulatudes 1000 dollarist päevas kuni 15 000 dollarini kuus ja isegi kuni 100 000 dollarini aastas. Pahavara looja reklaamib seda kui "ülimat tööriista pliiatsitestijatele/punasetele tiimidele", tuues esile selle eksklusiivsed funktsioonid, mida väidetavalt mujal pole. Huvitaval kombel on küberturvalisuse teadlased avastanud varasemaid DarkGate'i iteratsioone, mis sisaldasid ka lunavaramoodulit.

Ärge mõistke andmepüügirünnakutes kasutatavaid trikke

Andmepüügirünnakud on mitmesuguste pahavaraohtude, sealhulgas varguste, troojalaste ja pahavara laadijate peamine kohaletoimetamise viis. Selliste andmepüügikatsete äratundmine on ülioluline, et hoida end turvaliselt ja mitte seada oma seadmeid ohtlikele turva- või privaatsusriskidele. Siin on mõned tüüpilised punased lipud, millest peaksite teadma:

• • Kahtlane saatja aadress : kontrollige hoolikalt saatja meiliaadressi. Olge ettevaatlik, kui see sisaldab õigekirjavigu, lisamärke või ei vasta selle organisatsiooni ametlikule domeenile, millest see väidetavalt pärit on.

• • Määratlemata tervitused : andmepüügimeilid kasutavad sageli üldisi tervitusi, nagu „Lugupeetud kasutaja”, selle asemel, et teie poole pöörduda teie nime järgi. Õiguspärased organisatsioonid isikupärastavad oma suhtlust tavaliselt.

• • Kiireloomuline või ähvardav keel : andmepüügimeilid tekitavad kiireloomulisuse või hirmu tunde, et kutsuda kohe tegutsema. Nad võivad väita, et teie konto on peatatud või kui te kiiresti ei tegutse, ootavad teid ees tagajärjed.

• • Ebatavalised isikuandmete päringud : olge ettevaatlik e-kirjadega, mis nõuavad tundlikku teavet, nagu paroolid, sotsiaalkindlustusnumbrid või krediitkaardiandmed. Õiguspärased organisatsioonid ei küsi sellist teavet meili teel.

• • Ebatavalised manused : ärge avage tundmatute saatjate manuseid. Need võivad sisaldada pahavara. Isegi kui kiindumus tundub tuttav, olge ettevaatlik, kui see on ootamatu või sunnib teid viivitamatult tegutsema.

• • Liiga hea, et olla tõsi Pakkumised : andmepüügimeilid võivad lubada uskumatuid auhindu, auhindu või pakkumisi, mille eesmärk on meelitada teid klõpsama pahatahtlikel linkidel või andma isiklikku teavet.

• • Ootamatud lingid : olge ettevaatlik meilide suhtes, mis sisaldavad ootamatult linke. Klõpsamise asemel sisestage ametliku veebisaidi aadress käsitsi oma brauserisse.

• • Emotsionaalne manipuleerimine : andmepüügimeilid võivad püüda esile kutsuda emotsioone, nagu uudishimu, kaastunnet või elevust, et saada linkidele juurdepääs või manuseid alla laadida.

• • Kontaktteabe puudumine : Tavaliselt annavad kontaktteavet seaduslikud organisatsioonid. Kui meilis see teave puudub või see sisaldab ainult üldist e-posti aadressi, olge ettevaatlik.

Kui jääte valvsaks ja õpetate end nende punaste lippude kohta, aitab see end andmepüügikatsete eest palju kaitsta. Kui saate meili, mis tekitab kahtlusi, on parem kontrollida selle õiguspärasust ametlike kanalite kaudu enne mis tahes toimingu tegemist.