DarkGate 악성 코드

DarkGate라고 알려진 쉽게 사용할 수 있는 악성 코드를 활용한 악성 스팸 캠페인이 밝혀졌습니다. 사이버 보안 연구원들은 DarkGate 맬웨어 활동이 증가한 것은 맬웨어 개발자가 최근 일부 사이버 범죄 파트너 그룹에게 다크게이트를 임대하기로 결정했기 때문일 가능성이 높다고 제안합니다. 이 위협 요소의 배포는 손상된 이메일 스레드를 악용하여 수신자가 자신도 모르게 악성 코드를 다운로드하도록 속이는 대규모 캠페인과도 연관되어 있습니다.

DarkGate 악성코드는 다단계 공격 프로세스를 통해 전달됩니다.

공격은 피해자를 피싱 URL로 유인하여 시작되며, 이 URL을 클릭하면 트래픽 안내 시스템(TDS)을 통과합니다. 목표는 특정 조건에서 의심하지 않는 피해자를 MSI 페이로드로 안내하는 것입니다. 이러한 조건 중 하나는 HTTP 응답에 새로 고침 헤더가 있다는 것입니다.

MSI 파일을 열면 다단계 프로세스가 시작됩니다. 이 프로세스에는 AutoIt 스크립트를 활용하여 쉘코드를 실행하는 작업이 포함되며, 이는 크립터 또는 로더를 통해 DarkGate 위협을 해독하고 실행하는 수단으로 사용됩니다. 더 정확하게 말하자면, 로더는 AutoIt 스크립트를 분석하고 여기에서 암호화된 페이로드를 추출하도록 프로그래밍되어 있습니다.

이러한 공격의 대체 버전도 관찰되었습니다. MSI 파일 대신 cURL을 사용하여 AutoIt 실행 파일과 스크립트 파일을 모두 검색하는 Visual Basic 스크립트가 사용됩니다. VB 스크립트를 전달하는 데 사용되는 정확한 방법은 현재 알려지지 않았습니다.

DarkGate는 침해된 장치에서 수많은 유해한 작업을 수행할 수 있습니다.

DarkGate는 보안 소프트웨어의 탐지를 회피하고, Windows 레지스트리 수정을 통해 지속성을 설정하고, 권한을 높이고, Discord 및 FileZilla와 같은 웹 브라우저 및 소프트웨어 플랫폼에서 데이터를 훔칠 수 있는 다양한 기능을 자랑합니다.

또한 C2(명령 및 제어) 서버와의 통신을 설정하여 파일 열거, 데이터 추출, 암호화폐 채굴 작업 시작, 원격 스크린샷 캡처 및 다양한 명령 실행과 같은 작업을 가능하게 합니다.

이 위협은 주로 구독 모델에 따라 지하 포럼에서 판매됩니다. 제공되는 가격대는 하루 $1,000부터 월 $15,000, 심지어 연간 최대 $100,000까지 다양합니다. 악성 코드 제작자는 이를 "침입 테스터/레드팀을 위한 최고의 도구"로 홍보하며 다른 곳에서는 찾을 수 없는 독점 기능을 강조합니다. 흥미롭게도 사이버 보안 연구원들은 랜섬웨어 모듈도 포함된 DarkGate의 초기 버전을 발견했습니다.

피싱 공격에 사용되는 속임수에 속지 마십시오

피싱 공격은 도용자, 트로이 목마, 악성 코드 로더를 비롯한 다양한 악성 코드 위협의 주요 전달 경로입니다. 이러한 피싱 시도를 인식하는 것은 안전을 유지하고 장치를 위험한 보안 또는 개인 정보 보호 위험에 노출시키지 않는 데 중요합니다. 다음은 알아야 할 몇 가지 일반적인 위험 신호입니다.

• 의심스러운 보낸 사람 주소 : 보낸 사람의 이메일 주소를 주의 깊게 확인하세요. 철자가 틀리거나 추가 문자가 포함되어 있거나 해당 조직의 공식 도메인과 일치하지 않는 경우 주의하세요.
• 불특정 인사말 : 피싱 이메일은 귀하의 이름을 부르지 않고 '사용자님께'와 같은 일반적인 인사말을 사용하는 경우가 많습니다. 합법적인 조직은 일반적으로 커뮤니케이션을 개인화합니다.
• 긴급하거나 위협적인 언어 : 피싱 이메일은 즉각적인 조치를 취하기 위해 긴박감이나 두려움을 조성하는 경향이 있습니다. 그들은 귀하의 계정이 정지되었다고 주장할 수 있으며, 신속하게 조치를 취하지 않으면 결과에 직면하게 될 것입니다.
• 비정상적인 개인정보 요청 : 비밀번호, 주민등록번호, 신용카드 정보 등 민감한 정보를 요구하는 이메일에 주의하세요. 합법적인 조직은 이메일을 통해 그러한 정보를 요청하지 않습니다.
• 비정상적인 첨부파일 : 보낸 사람을 알 수 없는 첨부파일은 열지 마세요. 악성 코드가 포함되어 있을 수 있습니다. 첨부 파일이 친숙해 보이더라도 예상치 못한 내용이거나 즉각적인 조치를 취해야 하는 경우에는 주의하세요.
• 사실이 되기에는 너무 좋은 제안 : 피싱 이메일은 악성 링크를 클릭하거나 개인 정보를 제공하도록 유도하기 위해 믿을 수 없는 보상, 경품 또는 제안을 약속할 수 있습니다.
• 예상치 못한 링크 : 예상치 못한 링크가 포함된 이메일에 주의하세요. 클릭하는 대신 공식 웹사이트 주소를 브라우저에 수동으로 입력하세요.
• 감정적 조작 : 피싱 이메일은 호기심, 동정심, 흥분과 같은 감정을 불러일으켜 링크에 액세스하거나 첨부 파일을 다운로드하도록 유도할 수 있습니다.
• 연락처 정보 부족 : 합법적인 조직에서는 일반적으로 연락처 정보를 제공합니다. 이메일에 이 정보가 없거나 일반 이메일 주소만 제공되는 경우 주의하세요.

경계심을 유지하고 이러한 위험 신호에 대해 스스로 교육하면 피싱 시도로부터 자신을 보호하는 데 큰 도움이 될 수 있습니다. 의심스러운 이메일을 받았다면 조치를 취하기 전에 공식 채널을 통해 적법성을 확인하는 것이 좋습니다.