DarkGate Malware

En malspam-kampanje som bruker en lett tilgjengelig skadelig programvare kjent som DarkGate har blitt brakt frem i lyset. Cybersikkerhetsforskere antyder at økningen i DarkGate malware-aktivitet sannsynligvis skyldes skadevareutviklerens nylige beslutning om å tilby den for utleie til en utvalgt gruppe nettkriminelle partnere. Denne trusselens utplassering har også vært assosiert med en storstilt kampanje som utnytter kompromitterte e-posttråder for å lure mottakere til å ubevisst laste ned skadelig programvare.

DarkGate Malware leveres via en flertrinns angrepsprosess

Angrepet starter ved å lokke offeret til en nettfisking-URL, som, når den klikkes, går gjennom et trafikkretningssystem (TDS). Målet er å lede de intetanende ofrene til en MSI-nyttelast under visse spesifikke forhold. En av disse betingelsene er tilstedeværelsen av en oppdateringshode i HTTP-svaret.

Når MSI-filen åpnes, utløses en flertrinnsprosess. Denne prosessen involverer å bruke et AutoIt-skript for å utføre shellcode, som fungerer som et middel til å dekryptere og starte DarkGate-trusselen via en kryptering eller laster. For å være mer presis er lasteren programmert til å analysere AutoIt-skriptet og trekke ut den krypterte nyttelasten fra den.

En alternativ versjon av disse angrepene er også observert. I stedet for en MSI-fil, brukes et Visual Basic-skript, som bruker cURL for å hente både AutoIt-kjørbaren og skriptfilen. Den nøyaktige metoden som brukes for å levere VB-skriptet er foreløpig ukjent.

DarkGate kan utføre en rekke skadelige handlinger på de ødelagte enhetene

DarkGate har en rekke funksjoner som lar den unngå oppdagelse av sikkerhetsprogramvare, etablere utholdenhet gjennom Windows-registermodifikasjoner, heve privilegier og stjele data fra nettlesere og programvareplattformer som Discord og FileZilla.

Videre etablerer den kommunikasjon med en Command-and-Control-server (C2), som muliggjør handlinger som filoppregning, datautvinning, initiering av gruvedrift for kryptovaluta, fjernopptak av skjermbilder og utførelse av forskjellige kommandoer.

Denne trusselen markedsføres primært på underjordiske fora under en abonnementsmodell. De tilbudte prispunktene varierer, fra $1 000 per dag til $15 000 per måned og til og med opptil $100 000 årlig. Skaperen av skadelig programvare fremmer den som det "ultimate verktøyet for pennetestere/red-teamers", og fremhever dens eksklusive funksjoner som visstnok ikke finnes noe annet sted. Interessant nok har cybersikkerhetsforskere oppdaget tidligere iterasjoner av DarkGate som også inkluderte en løsepengeprogrammodul.

Ikke fall for triksene som brukes i phishing-angrep

Phishing-angrep er en primær leveringsvei for en rekke skadevaretrusler, inkludert tyvere, trojanere og skadevarelastere. Å gjenkjenne slike phishing-forsøk er avgjørende for å forbli trygge og ikke utsette enhetene dine for noen farlig sikkerhets- eller personvernrisiko. Her er noen typiske røde flagg å være oppmerksom på:

• Mistenkelig avsenderadresse : Sjekk avsenderens e-postadresse nøye. Vær forsiktig hvis den inneholder feilstavinger, ekstra tegn eller ikke samsvarer med det offisielle domenet til organisasjonen den hevder å være fra.
• Uspesifiserte hilsener : Phishing-e-poster bruker ofte generiske hilsener som "Kjære bruker" i stedet for å adressere deg med navnet ditt. Legitime organisasjoner tilpasser vanligvis kommunikasjonen sin.
• Haster eller truende språk : Phishing-e-poster har en tendens til å skape en følelse av at det haster eller frykt for å be om umiddelbar handling. De kan hevde at kontoen din er suspendert, eller du vil møte konsekvenser med mindre du handler raskt.
• Uvanlige forespørsler om personlig informasjon : Vær forsiktig med e-poster som ber om sensitiv informasjon som passord, personnummer eller kredittkortdetaljer. Legitime organisasjoner vil ikke be om slik informasjon via e-post.
• Uvanlige vedlegg : Ikke åpne vedlegg fra ukjente avsendere. De kan inneholde skadelig programvare. Selv om vedlegget virker kjent, vær forsiktig hvis det er uventet eller oppfordrer deg til å iverksette tiltak umiddelbart.
• Too Good to Be True Tilbud : Phishing-e-poster kan love utrolige belønninger, premier eller tilbud som er ment å lokke deg til å klikke på ondsinnede lenker eller oppgi personlig informasjon.
• Uventede koblinger : Vær forsiktig med e-poster som uventet inneholder lenker. I stedet for å klikke, skriv inn adressen til den offisielle nettsiden manuelt i nettleseren din.
• Emosjonell manipulasjon : Phishing-e-poster kan prøve å vekke følelser som nysgjerrighet, sympati eller begeistring for å få deg til å få tilgang til lenker eller laste ned vedlegg.
• Mangel på kontaktinformasjon : Legitime organisasjoner gir vanligvis kontaktinformasjon. Hvis en e-post mangler denne informasjonen eller bare inneholder en generisk e-postadresse, vær forsiktig.

Å være på vakt og utdanne deg selv om disse røde flaggene kan gå langt i å beskytte deg selv mot phishing-forsøk. Hvis du mottar en e-post som vekker mistanke, er det bedre å bekrefte legitimiteten gjennom offisielle kanaler før du gjør noe.