DarkGate Malware

מסע פרסום של ספאם שמשתמש בתוכנה זמינה זמינה בשם DarkGate הועלה לאור. חוקרי אבטחת סייבר מציעים כי העלייה בפעילות תוכנות זדוניות DarkGate נובעת ככל הנראה מההחלטה האחרונה של מפתח התוכנה להציע אותה להשכרה לקבוצה נבחרת של שותפים פושעי סייבר. פריסת האיום הזה נקשרה גם למסע פרסום בקנה מידה גדול המנצל שרשורי דוא"ל שנפגעו כדי להונות את הנמענים כדי להוריד את התוכנה הזדונית שלא ביודעין.

תוכנת זדונית DarkGate מועברת באמצעות תהליך התקפה רב-שלבי

ההתקפה מתחילה על ידי פיתוי הקורבן לכתובת דיוג, אשר לאחר הלחיצה עוברת דרך מערכת כיוון תנועה (TDS). המטרה היא להפנות את הקורבנות התמימים למטען MSI בתנאים מסוימים. אחד מהתנאים הללו הוא נוכחות של כותרת רענון בתגובת HTTP.

עם פתיחת קובץ MSI, מופעל תהליך רב-שלבי. תהליך זה כרוך בשימוש בסקריפט AutoIt לביצוע קוד shell, המשמש כאמצעי לפענוח ולהשיק את איום DarkGate באמצעות צופן או מטעין. ליתר דיוק, הטוען מתוכנת לנתח את הסקריפט של AutoIt ולחלץ ממנו את המטען המוצפן.

גם גרסה חלופית של התקפות אלה נצפתה. במקום קובץ MSI, נעשה שימוש בסקריפט Visual Basic, המשתמש ב-cURL כדי לאחזר גם את קובץ ההפעלה של AutoIt וגם את קובץ הסקריפט. השיטה המדויקת המשמשת להעברת סקריפט VB עדיין לא ידועה.

DarkGate יכול לבצע מספר רב של פעולות מזיקות במכשירים שנפרצו

DarkGate מתגאה במגוון של יכולות המאפשרות לו להתחמק מזיהוי על ידי תוכנת אבטחה, לבסס התמדה באמצעות שינויים ברישום של Windows, להעלות הרשאות ולגזול נתונים מדפדפני אינטרנט ופלטפורמות תוכנה כמו Discord ו-FileZilla.

יתר על כן, הוא יוצר תקשורת עם שרת Command-and-Control (C2), המאפשר פעולות כגון ספירת קבצים, חילוץ נתונים, התחלת פעולות כריית מטבעות קריפטוגרפיים, לכידת צילום מסך מרחוק וביצוע פקודות שונות.

האיום הזה משווק בעיקר בפורומים מחתרתיים תחת מודל מנוי. נקודות המחיר המוצעות משתנות, ונעות בין 1,000 דולר ליום ל-15,000 דולר לחודש ואפילו עד 100,000 דולר בשנה. יוצר התוכנה הזדונית מקדם אותה כ"כלי האולטימטיבי לבודקי עט/אנשי צוות אדומים", תוך הדגשת תכונותיו הבלעדיות שלכאורה לא נמצאות בשום מקום אחר. באופן מעניין, חוקרי אבטחת סייבר גילו איטרציות קודמות של DarkGate שכללו גם מודול תוכנת כופר.

אל תיפול לטריקים המשמשים בהתקפות פישינג

התקפות דיוג הן מסלול מסירה עיקרי למגוון איומי תוכנות זדוניות, כולל גנבים, סוסים טרויאנים ומעמיסי תוכנות זדוניות. זיהוי ניסיונות דיוג מסוג זה חיוני כדי להישאר בטוחים ולא לחשוף את המכשירים שלך לסיכוני אבטחה או פרטיות מסוכנים. להלן כמה דגלים אדומים טיפוסיים שכדאי להיות מודעים אליהם:

• כתובת השולח חשודה : בדוק היטב את כתובת הדוא"ל של השולח. היזהר אם הוא מכיל שגיאות כתיב, תווים נוספים, או אינו תואם לדומיין הרשמי של הארגון ממנו הוא טוען שהוא מגיע.
• ברכות לא מוגדרות : בדוא"ל דיוג משתמשים לרוב בברכות כלליות כמו 'משתמש יקר' במקום לפנות אליך בשמך. ארגונים לגיטימיים בדרך כלל מתאימים את התקשורת שלהם אישית.
• שפה דחופה או מאיימת : הודעות דוא"ל דיוג נוטות ליצור תחושת דחיפות או פחד להנחות פעולה מיידית. הם עשויים לטעון שהחשבון שלך מושעה, או שתתמודד עם השלכות אלא אם תפעל במהירות.
• בקשות חריגות למידע אישי : היזהר מהודעות דוא"ל המבקשות מידע רגיש כמו סיסמאות, מספרי ביטוח לאומי או פרטי כרטיס אשראי. ארגונים לגיטימיים לא יבקשו מידע כזה באמצעות דואר אלקטרוני.
• קבצים מצורפים לא רגילים : אל תפתח קבצים מצורפים משולחים לא ידועים. הם עלולים להכיל תוכנות זדוניות. גם אם הקובץ המצורף נראה מוכר, היזהר אם הוא בלתי צפוי או קורא לך לנקוט בפעולה מיידית.
• הצעות טובות מכדי להיות אמיתיות : הודעות דוא"ל דיוג עשויות להבטיח תגמולים, פרסים או הצעות שלא ייאמן שנועדו לפתות אותך ללחוץ על קישורים זדוניים או לספק מידע אישי.
• קישורים לא צפויים : היזהר מהודעות דוא"ל המכילות קישורים באופן בלתי צפוי. במקום ללחוץ, הקלד ידנית את כתובת האתר הרשמי בדפדפן שלך.
• מניפולציה רגשית : הודעות דוא"ל דיוג עשויות לנסות לעורר רגשות כמו סקרנות, אהדה או התרגשות כדי לגרום לך לגשת לקישורים או להוריד קבצים מצורפים.
• חוסר במידע ליצירת קשר : ארגונים לגיטימיים בדרך כלל מספקים מידע ליצירת קשר. אם הודעת דוא"ל חסרה מידע זה או מספקת כתובת דוא"ל כללית בלבד, היזהר.

שמירה על ערנות והשכלה על הדגלים האדומים האלה יכולה להגן על עצמך מפני ניסיונות דיוג. אם אתה מקבל אימייל שמעורר חשדות, עדיף לוודא את הלגיטימיות שלו בערוצים הרשמיים לפני נקיטת פעולה כלשהי.