تخفیف چند مجوز
Threat Database Malware بدافزار DarkGate

بدافزار DarkGate

تا Mezo در Malware
ترجمه به:
فارسی

یک کمپین malspam با استفاده از یک بدافزار در دسترس به نام DarkGate فاش شده است. محققان امنیت سایبری پیشنهاد می‌کنند که افزایش فعالیت بدافزار DarkGate احتمالاً به دلیل تصمیم اخیر توسعه‌دهنده بدافزار برای ارائه آن برای اجاره به گروهی منتخب از شرکای مجرمان سایبری است. استقرار این تهدید همچنین با یک کمپین در مقیاس بزرگ همراه است که از رشته‌های ایمیل در معرض خطر سوء استفاده می‌کند تا گیرندگان را فریب دهد تا ناآگاهانه این بدافزار را دانلود کنند.

بدافزار DarkGate از طریق یک فرآیند حمله چند مرحله ای تحویل داده می شود

حمله با فریب دادن قربانی به یک URL فیشینگ آغاز می شود، که پس از کلیک کردن، از طریق یک سیستم هدایت ترافیک (TDS) می رود. هدف هدایت قربانیان ناآگاه به محموله MSI تحت شرایط خاص است. یکی از این شرایط وجود هدر رفرش در پاسخ HTTP است.

با باز کردن فایل MSI، یک فرآیند چند مرحله ای راه اندازی می شود. این فرآیند شامل استفاده از یک اسکریپت AutoIt برای اجرای پوسته‌کد است که به‌عنوان وسیله‌ای برای رمزگشایی و راه‌اندازی تهدید DarkGate از طریق رمزگذار یا لودر عمل می‌کند. به بیان دقیق تر، لودر طوری برنامه ریزی شده است که اسکریپت AutoIt را تحلیل کرده و بار رمزگذاری شده را از آن استخراج کند.

نسخه جایگزینی از این حملات نیز مشاهده شده است. به جای یک فایل MSI، یک اسکریپت ویژوال بیسیک استفاده می شود که از cURL برای بازیابی فایل اجرایی AutoIt و فایل اسکریپت استفاده می کند. روش دقیق مورد استفاده برای ارائه اسکریپت VB در حال حاضر ناشناخته باقی مانده است.

دارک گیت می تواند اقدامات مضر متعددی را روی دستگاه های خراب انجام دهد

DarkGate دارای طیف وسیعی از قابلیت‌ها است که به آن امکان می‌دهد از شناسایی توسط نرم‌افزارهای امنیتی فرار کند، از طریق تغییرات رجیستری ویندوز پایداری ایجاد کند، امتیازات را افزایش دهد و داده‌ها را از مرورگرهای وب و پلتفرم‌های نرم‌افزاری مانند Discord و FileZilla به سرقت ببرد.

علاوه بر این، با یک سرور Command-and-Control (C2) ارتباط برقرار می کند و اقداماتی مانند شمارش فایل، استخراج داده ها، شروع عملیات استخراج ارز دیجیتال، گرفتن اسکرین شات از راه دور و اجرای دستورات مختلف را امکان پذیر می کند.

این تهدید عمدتاً در انجمن های زیرزمینی تحت یک مدل اشتراک به بازار عرضه می شود. قیمت پیشنهادی متفاوت است، از 1000 دلار در روز تا 15000 دلار در ماه و حتی تا 100000 دلار در سال. خالق بدافزار آن را به عنوان «ابزار نهایی برای آزمایش‌کنندگان قلم/تیم‌کنندگان قرمز» تبلیغ می‌کند و ویژگی‌های انحصاری آن را که ظاهراً در هیچ جای دیگری یافت نمی‌شود، برجسته می‌کند. جالب اینجاست که محققان امنیت سایبری نسخه‌های قبلی DarkGate را کشف کرده‌اند که شامل یک ماژول باج‌افزار نیز می‌شد.

به ترفندهای مورد استفاده در حملات فیشینگ نیفتید

حملات فیشینگ یک مسیر تحویل اولیه برای انواع تهدیدات بدافزار از جمله دزدها، تروجان‌ها و بارکننده‌های بدافزار هستند. تشخیص چنین تلاش‌های فیشینگ برای ایمن ماندن و قرار نگرفتن دستگاه‌های شما در معرض خطرات خطرناک امنیتی یا حریم خصوصی بسیار مهم است. در اینجا چند پرچم قرمز معمولی وجود دارد که باید از آنها آگاه باشید:

  • آدرس فرستنده مشکوک : آدرس ایمیل فرستنده را به دقت بررسی کنید. اگر حاوی غلط املایی، نویسه‌های اضافی است یا با دامنه رسمی سازمانی که ادعا می‌کند از آن است مطابقت ندارد، مراقب باشید.

  • احوالپرسی نامشخص : ایمیل‌های فیشینگ اغلب به جای اینکه شما را با نام شما خطاب کنند، از تبریک‌های عمومی مانند «کاربر عزیز» استفاده می‌کنند. سازمان های قانونی معمولا ارتباطات خود را شخصی می کنند.

  • زبان فوری یا تهدیدآمیز : ایمیل‌های فیشینگ باعث ایجاد احساس فوریت یا ترس برای اقدام فوری می‌شوند. آنها ممکن است ادعا کنند حساب شما به حالت تعلیق درآمده است، در غیر این صورت با عواقبی روبرو خواهید شد مگر اینکه سریع اقدام کنید.

  • درخواست‌های غیرمعمول برای اطلاعات شخصی : مراقب ایمیل‌هایی باشید که اطلاعات حساسی مانند رمز عبور، شماره‌های تامین اجتماعی یا جزئیات کارت اعتباری را درخواست می‌کنند. سازمان های قانونی چنین اطلاعاتی را از طریق ایمیل نمی خواهند.

  • پیوست های غیر معمول : پیوست های فرستنده ناشناس را باز نکنید. آنها می توانند حاوی بدافزار باشند. حتی اگر پیوست آشنا به نظر می رسد، اگر غیرمنتظره است یا شما را ترغیب به اقدام فوری می کند، محتاط باشید.

  • پیشنهادات خیلی خوب برای واقعی بودن : ایمیل های فیشینگ ممکن است نوید جوایز، جوایز یا پیشنهادهای باورنکردنی را بدهد که قصد دارند شما را به کلیک روی پیوندهای مخرب یا ارائه اطلاعات شخصی ترغیب کنند.

  • پیوندهای غیرمنتظره : مراقب ایمیل هایی باشید که به طور غیر منتظره حاوی لینک هستند. به جای کلیک کردن، آدرس وب سایت رسمی را به صورت دستی در مرورگر خود تایپ کنید.

  • دستکاری عاطفی : ایمیل های فیشینگ ممکن است سعی کنند احساساتی مانند کنجکاوی، همدردی یا هیجان را برانگیزند تا شما را به دسترسی به پیوندها یا دانلود پیوست ها وادار کنند.

  • فقدان اطلاعات تماس : سازمان های قانونی معمولاً اطلاعات تماس را ارائه می دهند. اگر ایمیلی فاقد این اطلاعات است یا فقط یک آدرس ایمیل عمومی ارائه می دهد، محتاط باشید.

هوشیار ماندن و آموزش خود در مورد این پرچم های قرمز می تواند کمک زیادی به محافظت از خود در برابر تلاش های فیشینگ کند. اگر ایمیلی دریافت کردید که باعث شک و تردید می شود، بهتر است قبل از هر اقدامی از طریق کانال های رسمی صحت آن را بررسی کنید.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,882
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...