DarkGate haittaohjelma

Malspam-kampanja, jossa hyödynnetään helposti saatavilla olevaa DarkGate-haittaohjelmaa, on tuotu esille. Kyberturvallisuustutkijat ehdottavat, että DarkGate-haittaohjelmien toiminnan lisääntyminen johtuu todennäköisesti haittaohjelmien kehittäjän äskettäisestä päätöksestä tarjota sitä vuokralle valitulle joukolle kyberrikollisia. Tämän uhan käyttöönotto on liitetty myös laajamittaiseen kampanjaan, joka hyödyntää vaarantuneita sähköpostisäikeitä huijatakseen vastaanottajia lataamaan haittaohjelmat tietämättään.

DarkGate-haittaohjelma toimitetaan monivaiheisen hyökkäysprosessin kautta

Hyökkäys alkaa houkuttelemalla uhri tietojenkalastelu-URL-osoitteeseen, joka napsautettaessa kulkee liikenteenohjausjärjestelmän (TDS) läpi. Tavoitteena on ohjata hyväuskoiset uhrit MSI-hyötykuormaan tietyissä olosuhteissa. Yksi näistä ehdoista on päivitysotsikon läsnäolo HTTP-vastauksessa.

Kun MSI-tiedosto avataan, monivaiheinen prosessi käynnistyy. Tämä prosessi sisältää AutoIt-komentosarjan käyttämisen shell-koodin suorittamiseen, joka toimii keinona purkaa salaus ja käynnistää DarkGate-uhan salauksen tai latausohjelman kautta. Tarkemmin sanottuna latausohjelma on ohjelmoitu analysoimaan AutoIt-skripti ja purkamaan siitä salatun hyötykuorman.

Näistä hyökkäyksistä on myös havaittu vaihtoehtoinen versio. MSI-tiedoston sijaan käytetään Visual Basic -komentosarjaa, joka käyttää cURL-osoitetta sekä AutoIt-suoritettavan tiedoston että komentosarjatiedoston hakemiseen. VB-komentosarjan toimitukseen käytetty tarkka menetelmä on edelleen tuntematon.

DarkGate voi suorittaa lukuisia haitallisia toimia rikkoutuneilla laitteilla

DarkGate tarjoaa erilaisia ominaisuuksia, joiden avulla se voi välttää tietoturvaohjelmiston havaitsemisen, ylläpitää pysyvyyttä Windowsin rekisterimuutoksilla, lisätä oikeuksia ja varastaa tietoja verkkoselaimista ja ohjelmistoalustoista, kuten Discord ja FileZilla.

Lisäksi se muodostaa tiedonsiirron Command-and-Control (C2) -palvelimen kanssa mahdollistaen toiminnot, kuten tiedostojen luetteloinnin, tietojen purkamisen, kryptovaluutan louhintatoimintojen aloittamisen, etäkuvakaappauksen ja erilaisten komentojen suorittamisen.

Tätä uhkaa markkinoidaan ensisijaisesti maanalaisilla foorumeilla tilausmallilla. Tarjotut hintapisteet vaihtelevat 1 000 dollarista päivässä 15 000 dollariin kuukaudessa ja jopa 100 000 dollariin vuodessa. Haittaohjelman luoja mainostaa sitä "äärimmäisenä työkaluna kynätestaajille / punaisille tiimeille", korostaen sen ainutlaatuisia ominaisuuksia, joita ei ilmeisesti löydy mistään muualta. Mielenkiintoista on, että kyberturvallisuustutkijat ovat löytäneet aiempia DarkGate-iteraatioita, jotka sisälsivät myös kiristysohjelmamoduulin.

Älä lankea tietokalasteluhyökkäyksissä käytettyihin temppuihin

Tietojenkalasteluhyökkäykset ovat ensisijainen toimitusväylä useille haittaohjelmauhkille, mukaan lukien varastajat, troijalaiset ja haittaohjelmien lataajat. Tällaisten tietojenkalasteluyritysten tunnistaminen on ratkaisevan tärkeää, jotta pysyt turvassa ja jotta laitteesi ei altistu vaarallisille tietoturva- tai tietosuojariskeille. Tässä on joitain tyypillisiä punaisia lippuja, jotka sinun tulee tietää:

• • Epäilyttävä lähettäjän osoite : Tarkista lähettäjän sähköpostiosoite huolellisesti. Ole varovainen, jos se sisältää kirjoitusvirheitä, ylimääräisiä merkkejä tai jos se ei vastaa sen organisaation virallista verkkotunnusta, josta se väittää olevan peräisin.

• • Määrittämättömät tervehdykset : Tietojenkalasteluviestit käyttävät usein yleisiä tervehdyksiä, kuten "Hei käyttäjä", sen sijaan, että ne ottaisivat sinut nimesi mukaan. Lailliset organisaatiot tyypillisesti personoivat viestintää.

• • Kiireellinen tai uhkaava kieli : Tietojenkalasteluviestit luovat yleensä kiireellisen tai pelon tunteen, joka vaatii välittömiä toimia. He voivat väittää, että tilisi on jäädytetty, tai sinulla on seurauksia, ellet toimi nopeasti.

• • Epätavalliset henkilötietojen pyynnöt : Ole varovainen sähköposteissa, joissa pyydetään arkaluontoisia tietoja, kuten salasanoja, sosiaaliturvatunnuksia tai luottokorttitietoja. Lailliset organisaatiot eivät pyydä tällaisia tietoja sähköpostitse.

• • Epätavalliset liitteet : Älä avaa tuntemattomien lähettäjien liitteitä. Ne voivat sisältää haittaohjelmia. Vaikka liite näyttää tutulta, ole varovainen, jos se on odottamaton tai kehottaa sinua ryhtymään välittömiin toimiin.

• • Liian hyvää ollakseen totta Tarjoukset : Tietojenkalasteluviestit saattavat luvata uskomattomia palkintoja, palkintoja tai tarjouksia, joiden tarkoituksena on houkutella sinut napsauttamaan haitallisia linkkejä tai antamaan henkilökohtaisia tietoja.

• • Odottamattomat linkit : Ole varovainen sähköpostien suhteen, jotka sisältävät odottamatta linkkejä. Napsautuksen sijaan kirjoita virallisen verkkosivuston osoite manuaalisesti selaimeesi.

• • Emotionaalinen manipulointi : Tietojenkalasteluviestit voivat yrittää herättää tunteita, kuten uteliaisuutta, myötätuntoa tai innostusta saadakseen sinut käyttämään linkkejä tai lataamaan liitteitä.

• • Yhteystietojen puute : Lailliset organisaatiot antavat yleensä yhteystiedot. Jos sähköpostista puuttuu nämä tiedot tai se sisältää vain yleisen sähköpostiosoitteen, ole varovainen.

Pysymällä valppaana ja kouluttamalla itsesi näistä punaisista lipuista voit suojata itsesi tietokalasteluyritykseltä. Jos saat sähköpostin, joka herättää epäilyksiä, on parempi varmistaa sen laillisuus virallisten kanavien kautta ennen kuin ryhdyt mihinkään toimiin.