DarkGate zlonamjerni softver

Kampanja zlonamjerne pošte koja koristi lako dostupan zlonamjerni softver poznat kao DarkGate je izašla na vidjelo. Istraživači kibernetičke sigurnosti sugeriraju da je povećanje aktivnosti zlonamjernog softvera DarkGate vjerojatno posljedica nedavne odluke razvojnog programera zlonamjernog softvera da ga ponudi u najam odabranoj skupini partnera kibernetičkog kriminala. Primjena ove prijetnje također je povezana s velikom kampanjom koja iskorištava kompromitirane niti e-pošte kako bi prevarila primatelje da nesvjesno preuzmu zlonamjerni softver.

Zlonamjerni softver DarkGate isporučuje se putem procesa napada u više faza

Napad započinje namamljivanjem žrtve na phishing URL koji, nakon klika, prolazi kroz sustav usmjeravanja prometa (TDS). Cilj je usmjeriti žrtve koje ništa ne sumnjaju na MSI teret pod određenim specifičnim uvjetima. Jedan od tih uvjeta je prisutnost zaglavlja za osvježavanje u HTTP odgovoru.

Nakon otvaranja MSI datoteke, pokreće se višefazni proces. Ovaj proces uključuje korištenje AutoIt skripte za izvršavanje shellcodea, koji služi kao sredstvo za dešifriranje i pokretanje DarkGate prijetnje putem kriptora ili učitavača. Da budemo precizniji, program za učitavanje je programiran da analizira AutoIt skriptu i iz nje izdvoji šifrirani korisni teret.

Uočena je i alternativna verzija ovih napada. Umjesto MSI datoteke, koristi se Visual Basic skripta koja koristi cURL za dohvaćanje izvršne datoteke AutoIt i datoteke skripte. Točna metoda korištena za isporuku VB skripte trenutno ostaje nepoznata.

DarkGate može izvesti brojne štetne radnje na oštećenim uređajima

DarkGate se može pohvaliti nizom mogućnosti koje mu omogućuju izbjegavanje otkrivanja od strane sigurnosnog softvera, uspostavljanje postojanosti kroz izmjene registra Windowsa, podizanje privilegija i krađu podataka iz web preglednika i softverskih platformi kao što su Discord i FileZilla.

Nadalje, uspostavlja komunikaciju s Command-and-Control (C2) poslužiteljem, omogućujući radnje poput enumeracije datoteka, ekstrakcije podataka, pokretanja operacija rudarenja kriptovalute, udaljenog snimanja zaslona i izvršavanja raznih naredbi.

Ova se prijetnja prvenstveno reklamira na podzemnim forumima pod modelom pretplate. Ponuđene cijene variraju, u rasponu od 1000 USD po danu do 15 000 USD mjesečno, pa čak i do 100 000 USD godišnje. Tvorac zlonamjernog softvera promovira ga kao "vrhunski alat za pen-testere/red-teamers", ističući njegove ekskluzivne značajke koje se navodno ne mogu pronaći nigdje drugdje. Zanimljivo je da su istraživači kibernetičke sigurnosti otkrili ranije iteracije DarkGatea koje su također uključivale modul ransomwarea.

Ne nasjedajte na trikove koji se koriste u phishing napadima

Phishing napadi primarni su put dostave za razne prijetnje zlonamjernim softverom, uključujući kradljivce, trojance i učitavače zlonamjernog softvera. Prepoznavanje takvih pokušaja krađe identiteta ključno je da ostanete sigurni i da svoje uređaje ne izložite opasnim sigurnosnim ili privatnim rizicima. Evo nekih tipičnih crvenih zastava kojih morate biti svjesni:

• • Sumnjiva adresa pošiljatelja : pažljivo provjerite adresu e-pošte pošiljatelja. Budite oprezni ako sadrži pravopisne pogreške, dodatne znakove ili ne odgovara službenoj domeni organizacije iz koje tvrdi da potječe.

• • Neodređeni pozdravi : phishing e-poruke često koriste generičke pozdrave poput 'Dragi korisniče' umjesto da vas oslovljavaju vašim imenom. Legitimne organizacije obično personaliziraju svoju komunikaciju.

• • Hitan ili prijeteći jezik : phishing e-poruke obično stvaraju osjećaj hitnosti ili straha kako bi potaknule trenutnu akciju. Mogu tvrditi da je vaš račun suspendiran ili ćete se suočiti s posljedicama ako ne reagirate brzo.

• • Neuobičajeni zahtjevi za osobnim podacima : Budite oprezni s e-porukama u kojima se traže osjetljivi podaci poput lozinki, brojeva socijalnog osiguranja ili podataka o kreditnoj kartici. Legitimne organizacije neće tražiti takve informacije putem e-pošte.

• • Neuobičajeni prilozi : Ne otvarajte privitke nepoznatih pošiljatelja. Mogli bi sadržavati zlonamjerni softver. Čak i ako se privitak čini poznatim, budite oprezni ako je neočekivan ili vas potiče da poduzmete hitnu akciju.

• • Ponude koje su previše dobre da bi bile istinite : phishing e-poruke mogu obećavati nevjerojatne nagrade, nagrade ili ponude koje bi vas trebale namamiti da kliknete na zlonamjerne veze ili pružite osobne podatke.

• • Neočekivane veze : Budite oprezni s e-porukama koje neočekivano sadrže veze. Umjesto klika, ručno upišite adresu službene web stranice u preglednik.

• • Emocionalna manipulacija : phishing e-poruke mogu pokušati izazvati emocije poput znatiželje, suosjećanja ili uzbuđenja kako bi vas natjerali da pristupite poveznicama ili preuzmete privitke.

• • Nedostatak podataka za kontakt : Legitimne organizacije obično daju podatke za kontakt. Budite oprezni ako u e-poruci nedostaju te informacije ili je navedena samo generička adresa e-pošte.

Ostanite na oprezu i informirajte se o ovim crvenim zastavicama, što može uvelike pomoći u zaštiti od pokušaja krađe identiteta. Ako primite e-poruku koja izaziva sumnju, bolje je provjeriti njezinu legitimnost putem službenih kanala prije nego što poduzmete bilo kakvu radnju.