Malware DarkGate

È stata portata alla luce una campagna di malspam che utilizza un malware facilmente disponibile noto come DarkGate. I ricercatori di sicurezza informatica suggeriscono che l'aumento dell'attività del malware DarkGate è probabilmente dovuto alla recente decisione dello sviluppatore di malware di offrirlo in affitto a un gruppo selezionato di partner criminali informatici. L'implementazione di questa minaccia è stata anche associata a una campagna su larga scala che sfrutta i thread di posta elettronica compromessi per indurre i destinatari a scaricare inconsapevolmente il malware.

Il malware DarkGate viene distribuito tramite un processo di attacco in più fasi

L'attacco inizia attirando la vittima verso un URL di phishing che, dopo essere stato cliccato, passa attraverso un sistema di direzione del traffico (TDS). L'obiettivo è indirizzare le vittime ignare verso un carico utile MSI in determinate condizioni specifiche. Una di queste condizioni è la presenza di un'intestazione di aggiornamento nella risposta HTTP.

All'apertura del file MSI, viene attivato un processo in più fasi. Questo processo prevede l'utilizzo di uno script AutoIt per eseguire lo shellcode, che funge da mezzo per decrittografare e lanciare la minaccia DarkGate tramite un crypter o un caricatore. Per essere più precisi, il caricatore è programmato per analizzare lo script AutoIt ed estrarne il payload crittografato.

È stata osservata anche una versione alternativa di questi attacchi. Invece di un file MSI, viene utilizzato uno script Visual Basic, che utilizza cURL per recuperare sia l'eseguibile AutoIt che il file di script. Il metodo esatto utilizzato per fornire lo script VB rimane attualmente sconosciuto.

DarkGate può eseguire numerose azioni dannose sui dispositivi violati

DarkGate vanta una gamma di funzionalità che gli consentono di eludere il rilevamento da parte di software di sicurezza, stabilire la persistenza attraverso le modifiche del registro di Windows, elevare i privilegi e rubare dati da browser Web e piattaforme software come Discord e FileZilla.

Inoltre, stabilisce la comunicazione con un server di comando e controllo (C2), consentendo azioni come l'enumerazione dei file, l'estrazione dei dati, l'avvio di operazioni di mining di criptovaluta, l'acquisizione di screenshot remoti e l'esecuzione di vari comandi.

Questa minaccia viene commercializzata principalmente nei forum clandestini tramite un modello di abbonamento. I prezzi offerti variano, da $ 1.000 al giorno a $ 15.000 al mese e persino fino a $ 100.000 all'anno. Il creatore del malware lo promuove come "lo strumento definitivo per i pen-tester/red-teamers", evidenziando le sue funzionalità esclusive presumibilmente non presenti da nessun'altra parte. È interessante notare che i ricercatori di sicurezza informatica hanno scoperto versioni precedenti di DarkGate che includevano anche un modulo ransomware.

Non cadere nei trucchi utilizzati negli attacchi di phishing

Gli attacchi di phishing rappresentano un percorso di diffusione primario per una varietà di minacce malware, tra cui ladri, trojan e caricatori di malware. Riconoscere tali tentativi di phishing è fondamentale per rimanere al sicuro e non esporre i propri dispositivi a pericolosi rischi per la sicurezza o la privacy. Ecco alcuni tipici segnali d'allarme di cui essere consapevoli:

• • Indirizzo mittente sospetto : controlla attentamente l'indirizzo email del mittente. Fai attenzione se contiene errori di ortografia, caratteri extra o non corrisponde al dominio ufficiale dell'organizzazione da cui dichiara di provenire.

• • Saluti non specificati : le e-mail di phishing spesso utilizzano saluti generici come "Gentile utente" invece di rivolgersi all'utente con il proprio nome. Le organizzazioni legittime in genere personalizzano la loro comunicazione.

• • Linguaggio urgente o minaccioso : le e-mail di phishing tendono a creare un senso di urgenza o paura per indurre ad un'azione immediata. Potrebbero affermare che il tuo account è sospeso o che dovrai affrontare delle conseguenze se non agisci rapidamente.

• • Richieste insolite di informazioni personali : prestare attenzione alle e-mail che richiedono informazioni sensibili come password, numeri di previdenza sociale o dettagli della carta di credito. Le organizzazioni legittime non chiederanno tali informazioni via e-mail.

• • Allegati insoliti : non aprire allegati provenienti da mittenti sconosciuti. Potrebbero contenere malware. Anche se l'attaccamento sembra familiare, sii cauto se è inaspettato o ti spinge ad agire immediatamente.

• • Offerte troppo belle per essere vere : le e-mail di phishing potrebbero promettere ricompense, premi o offerte incredibili che hanno lo scopo di indurti a fare clic su collegamenti dannosi o a fornire informazioni personali.

• • Collegamenti inaspettati : prestare attenzione alle e-mail che contengono collegamenti inaspettati. Invece di fare clic, digita manualmente l'indirizzo del sito Web ufficiale nel tuo browser.

• • Manipolazione emotiva : le e-mail di phishing possono tentare di evocare emozioni come curiosità, simpatia o eccitazione per indurti ad accedere a collegamenti o a scaricare allegati.

• • Mancanza di informazioni di contatto : le organizzazioni legittime solitamente forniscono informazioni di contatto. Se un'e-mail non contiene queste informazioni o fornisce solo un indirizzo e-mail generico, sii cauto.

Rimanere vigili e informarsi su questi segnali d’allarme può fare molto per proteggersi dai tentativi di phishing. Se ricevi un'e-mail che suscita sospetti, è meglio verificarne la legittimità tramite i canali ufficiali prima di intraprendere qualsiasi azione.