DarkGate Malware

A DarkGate néven ismert, könnyen elérhető kártevőt használó malspam kampány napvilágra került. A kiberbiztonsági kutatók szerint a DarkGate kártevők aktivitásának növekedése valószínűleg annak tudható be, hogy a rosszindulatú programfejlesztő nemrégiben úgy döntött, hogy bérbe adja azt a kiberbűnöző partnerek egy kiválasztott csoportjának. Ennek a fenyegetésnek a bevezetése egy nagyszabású kampányhoz is kapcsolódik, amely a feltört e-mail szálakat kihasználva ráveszi a címzetteket, hogy tudatlanul töltsék le a kártevőt.

A DarkGate rosszindulatú program többlépcsős támadási folyamaton keresztül érkezik

A támadás úgy indul, hogy az áldozatot egy adathalász URL-re csalják, amelyre kattintáskor átmegy egy forgalomirányító rendszeren (TDS). A cél az, hogy a gyanútlan áldozatokat egy MSI rakományhoz irányítsák bizonyos meghatározott feltételek mellett. Az egyik ilyen feltétel a frissítési fejléc jelenléte a HTTP-válaszban.

Az MSI fájl megnyitásakor egy többlépcsős folyamat indul el. Ez a folyamat magában foglalja az AutoIt szkript használatát a shellkód végrehajtásához, amely eszközként szolgál a DarkGate fenyegetés visszafejtéséhez és elindításához egy titkosítón vagy betöltőn keresztül. Pontosabban, a betöltő úgy van programozva, hogy elemezze az AutoIt parancsfájlt, és kivonja belőle a titkosított rakományt.

Ezeknek a támadásoknak egy alternatív változatát is megfigyelték. MSI-fájl helyett Visual Basic Scriptet használnak, amely a cURL-t használja az AutoIt végrehajtható és a szkriptfájl lekéréséhez. A VB Script kézbesítésének pontos módja egyelőre ismeretlen.

A DarkGate számos káros műveletet tud végrehajtani a feltört eszközökön

A DarkGate egy sor olyan képességgel büszkélkedhet, amely lehetővé teszi számára, hogy elkerülje a biztonsági szoftverek általi észlelést, a Windows Registry módosításai révén fenntartsa a kitartást, növelje a jogosultságokat, és ellopja az adatokat a webböngészőkből és olyan szoftverplatformokból, mint a Discord és a FileZilla.

Ezenkívül kommunikációt létesít egy Command-and-Control (C2) szerverrel, lehetővé téve olyan műveleteket, mint a fájlok felsorolása, adatkinyerés, kriptovaluta bányászati műveletek kezdeményezése, távoli képernyőkép rögzítése és különféle parancsok végrehajtása.

Ezt a fenyegetést elsősorban földalatti fórumokon értékesítik előfizetéses modellben. A kínált árpontok változóak, napi 1000 dollártól havi 15 000 dollárig, sőt akár évi 100 000 dollárig is terjednek. A rosszindulatú program készítője a "tolltesztelők/vörös csapatok végső eszközeként" hirdeti, kiemelve exkluzív funkcióit, amelyek állítólag sehol máshol nem találhatók meg. Érdekes módon a kiberbiztonsági kutatók felfedezték a DarkGate korábbi iterációit, amelyek egy ransomware modult is tartalmaztak.

Ne dőljön be az adathalász támadásoknál használt trükköknek

Az adathalász támadások a különféle rosszindulatú programok, köztük a lopók, trójai programok és rosszindulatú programok betöltőinek elsődleges szállítási útvonalai. Az ilyen adathalász kísérletek felismerése kulcsfontosságú ahhoz, hogy biztonságban maradhasson, és ne tegye ki eszközeit veszélyes biztonsági vagy adatvédelmi kockázatoknak. Íme néhány tipikus piros zászló, amelyekre figyelni kell:

• Gyanús feladó címe : Gondosan ellenőrizze a feladó e-mail címét. Legyen óvatos, ha elírásokat, extra karaktereket tartalmaz, vagy ha nem egyezik annak a szervezetnek a hivatalos domainjével, amelyből származik.
• Meghatározatlan üdvözlet : Az adathalász e-mailek gyakran olyan általános üdvözletet használnak, mint a „Kedves felhasználó”, ahelyett, hogy a neveden szólítanák meg. A legitim szervezetek jellemzően személyre szabják kommunikációjukat.
• Sürgős vagy fenyegető nyelv : Az adathalász e-mailek hajlamosak sürgősség vagy félelem érzését kelteni, és azonnali cselekvésre késztetnek. Azt állíthatják, hogy fiókját felfüggesztettük, vagy ha nem cselekszik gyorsan, következményekkel kell számolnia.
• Szokatlan személyes adatok kérése : Legyen óvatos az olyan e-mailekkel kapcsolatban, amelyekben bizalmas adatokat kérnek, például jelszavakat, társadalombiztosítási számokat vagy hitelkártyaadatokat. A törvényes szervezetek nem kérnek ilyen információkat e-mailben.
• Szokatlan mellékletek : Ne nyissa meg az ismeretlen feladóktól származó mellékleteket. Rosszindulatú programokat tartalmazhatnak. Még akkor is legyen óvatos, ha a kötődés ismerősnek tűnik, ha váratlan, vagy azonnali cselekvésre késztet.
• Túl szép, hogy igaz legyen Ajánlatok : Az adathalász e-mailek hihetetlen jutalmakkal, nyereményekkel vagy ajánlatokkal kecsegtethetnek, amelyek célja, hogy rávegyék Önt rosszindulatú hivatkozásokra vagy személyes adatok megadására.
• Váratlan linkek : Legyen óvatos azokkal az e-mailekkel, amelyek váratlanul tartalmaznak hivatkozásokat. A kattintás helyett manuálisan írja be a hivatalos webhely címét a böngészőbe.
• Érzelmi manipuláció : Az adathalász e-mailek olyan érzelmeket próbálhatnak kiváltani, mint a kíváncsiság, együttérzés vagy izgalom, hogy elérjék a linkeket vagy letöltsék a mellékleteket.
• Kapcsolatfelvételi adatok hiánya : A törvényes szervezetek általában elérhetőségeket adnak meg. Ha egy e-mailben hiányzik ez az információ, vagy csak általános e-mail-címet tartalmaz, legyen óvatos.

Ha éber marad, és tájékozódik ezekkel a piros zászlókkal kapcsolatban, nagyban megvédheti magát az adathalász kísérletektől. Ha olyan e-mailt kap, amely gyanút vet fel, jobb, ha hivatalos csatornákon keresztül ellenőrizze annak legitimitását, mielőtt bármilyen intézkedést megtenne.