Kortingen op meerdere licenties
Threat Database Malware DarkGate-malware

DarkGate-malware

Tegen Mezo in Malware
Vertalen naar:
Nederlands

Er is een malspamcampagne aan het licht gekomen die gebruik maakt van direct beschikbare malware, bekend als DarkGate. Cybersecurity-onderzoekers suggereren dat de toename van de DarkGate-malwareactiviteit waarschijnlijk te wijten is aan de recente beslissing van de malware-ontwikkelaar om deze te huur aan te bieden aan een selecte groep cybercriminele partners. De inzet van deze dreiging is ook in verband gebracht met een grootschalige campagne die misbruik maakt van gecompromitteerde e-mailthreads om ontvangers te misleiden zodat ze onbewust de malware downloaden.

De DarkGate-malware wordt geleverd via een meerfasig aanvalsproces

De aanval wordt gestart door het slachtoffer naar een phishing-URL te lokken, die, wanneer erop wordt geklikt, via een verkeersrichtingssysteem (TDS) gaat. Het doel is om de nietsvermoedende slachtoffers onder bepaalde specifieke omstandigheden naar een MSI-lading te leiden. Eén van deze voorwaarden is de aanwezigheid van een vernieuwingsheader in het HTTP-antwoord.

Bij het openen van het MSI-bestand wordt een proces in meerdere fasen geactiveerd. Dit proces omvat het gebruik van een AutoIt-script om shellcode uit te voeren, wat dient als een middel om de DarkGate-dreiging te decoderen en te lanceren via een crypter of lader. Om preciezer te zijn: de lader is geprogrammeerd om het AutoIt-script te analyseren en de gecodeerde payload daaruit te extraheren.

Er is ook een alternatieve versie van deze aanvallen waargenomen. In plaats van een MSI-bestand wordt een Visual Basic-script gebruikt, dat cURL gebruikt om zowel het uitvoerbare AutoIt-bestand als het scriptbestand op te halen. De exacte methode die wordt gebruikt om het VB-script af te leveren, is momenteel onbekend.

DarkGate kan talloze schadelijke acties uitvoeren op de gehackte apparaten

DarkGate beschikt over een reeks mogelijkheden waarmee het detectie door beveiligingssoftware kan omzeilen, persistentie tot stand kan brengen via wijzigingen in het Windows-register, bevoegdheden kan verhogen en gegevens kan stelen uit webbrowsers en softwareplatforms zoals Discord en FileZilla.

Bovendien brengt het communicatie tot stand met een Command-and-Control (C2)-server, waardoor acties mogelijk zijn zoals het opsommen van bestanden, gegevensextractie, het starten van cryptocurrency-miningactiviteiten, het op afstand vastleggen van screenshots en het uitvoeren van verschillende opdrachten.

Deze dreiging wordt voornamelijk op ondergrondse fora op de markt gebracht onder een abonnementsmodel. De aangeboden prijspunten variëren, variërend van $1.000 per dag tot $15.000 per maand en zelfs tot $100.000 per jaar. De maker van de malware promoot het als het ‘ultieme hulpmiddel voor pentesters/red-teamers’ en benadrukt de exclusieve functies die zogenaamd nergens anders te vinden zijn. Interessant is dat cybersecurity-onderzoekers eerdere versies van DarkGate hebben ontdekt die ook een ransomware-module bevatten.

Trap niet in de trucs die worden gebruikt bij phishing-aanvallen

Phishing-aanvallen vormen een primair transportkanaal voor een verscheidenheid aan malwarebedreigingen, waaronder stealers, Trojaanse paarden en malware-laders. Het herkennen van dergelijke phishing-pogingen is van cruciaal belang om veilig te blijven en uw apparaten niet bloot te stellen aan gevaarlijke beveiligings- of privacyrisico's. Hier zijn enkele typische rode vlaggen waar u op moet letten:

  • Verdacht afzenderadres : Controleer het e-mailadres van de afzender zorgvuldig. Wees voorzichtig als het spelfouten of extra tekens bevat, of niet overeenkomt met het officiële domein van de organisatie waarvan het beweert afkomstig te zijn.
  • Ongespecificeerde begroetingen : Phishing-e-mails gebruiken vaak algemene begroetingen zoals 'Beste gebruiker' in plaats van dat u bij uw naam wordt aangesproken. Legitieme organisaties personaliseren doorgaans hun communicatie.
  • Dringend of bedreigend taalgebruik : Phishing-e-mails wekken vaak een gevoel van urgentie of angst op om onmiddellijke actie te ondernemen. Ze kunnen beweren dat uw account is opgeschort, anders krijgt u consequenties als u niet snel handelt.
  • Ongebruikelijke verzoeken om persoonlijke informatie : Wees voorzichtig met e-mails waarin om gevoelige informatie wordt gevraagd, zoals wachtwoorden, burgerservicenummers of creditcardgegevens. Legitieme organisaties zullen niet per e-mail om dergelijke informatie vragen.
  • Ongebruikelijke bijlagen : open geen bijlagen van onbekende afzenders. Ze kunnen malware bevatten. Zelfs als de bijlage bekend voorkomt, wees dan voorzichtig als deze onverwacht is of u ertoe aanzet onmiddellijk actie te ondernemen.
  • Aanbiedingen die te mooi zijn om waar te zijn : Phishing-e-mails kunnen ongelooflijke beloningen, prijzen of aanbiedingen beloven die bedoeld zijn om u ertoe te verleiden op kwaadaardige links te klikken of persoonlijke informatie te verstrekken.
  • Onverwachte links : wees voorzichtig met e-mails die onverwacht links bevatten. In plaats van te klikken, typt u handmatig het adres van de officiële website in uw browser.
  • Emotionele manipulatie : Phishing-e-mails kunnen proberen emoties zoals nieuwsgierigheid, sympathie of opwinding op te roepen om u toegang te geven tot links of bijlagen te downloaden.
  • Gebrek aan contactinformatie : legitieme organisaties verstrekken meestal contactinformatie. Wees voorzichtig als een e-mail deze informatie mist of alleen een algemeen e-mailadres bevat.

Door waakzaam te blijven en uzelf op de hoogte te stellen van deze waarschuwingssignalen, kunt u een grote bijdrage leveren aan de bescherming tegen phishing-pogingen. Als u een e-mail ontvangt die vermoedens oproept, kunt u de legitimiteit ervan beter via officiële kanalen verifiëren voordat u actie onderneemt.

Trending

Meest bekeken

Bezig met laden...