Złośliwe oprogramowanie DarkGate

Wyszła na światło dzienne kampania złośliwego spamu wykorzystująca łatwo dostępne złośliwe oprogramowanie znane jako DarkGate. Badacze zajmujący się cyberbezpieczeństwem sugerują, że wzrost aktywności szkodliwego oprogramowania DarkGate jest prawdopodobnie spowodowany niedawną decyzją twórcy szkodliwego oprogramowania o zaoferowaniu go do wynajęcia wybranej grupie partnerów cyberprzestępczych. Rozmieszczenie tego zagrożenia zostało również powiązane z zakrojoną na szeroką skalę kampanią, która wykorzystuje zainfekowane wątki wiadomości e-mail w celu oszukania odbiorców w celu nieświadomego pobrania złośliwego oprogramowania.

Złośliwe oprogramowanie DarkGate jest dostarczane w wyniku wieloetapowego procesu ataku

Atak rozpoczyna się od zwabienia ofiary pod adres URL phishingowy, który po kliknięciu przechodzi przez system kierowania ruchem (TDS). Celem jest skierowanie niczego niepodejrzewających ofiar do ładunku MSI pod pewnymi określonymi warunkami. Jednym z tych warunków jest obecność nagłówka odświeżania w odpowiedzi HTTP.

Po otwarciu pliku MSI uruchamiany jest wieloetapowy proces. Proces ten polega na wykorzystaniu skryptu AutoIt do wykonania kodu powłoki, który służy do odszyfrowania i uruchomienia zagrożenia DarkGate za pośrednictwem narzędzia szyfrującego lub modułu ładującego. Mówiąc dokładniej, moduł ładujący jest zaprogramowany tak, aby analizować skrypt AutoIt i wyodrębniać z niego zaszyfrowany ładunek.

Zaobserwowano również alternatywną wersję tych ataków. Zamiast pliku MSI zastosowano skrypt Visual Basic, który używa cURL do pobrania zarówno pliku wykonywalnego AutoIt, jak i pliku skryptu. Dokładna metoda zastosowana do dostarczenia skryptu VB pozostaje obecnie nieznana.

DarkGate może wykonywać wiele szkodliwych działań na zhakowanych urządzeniach

DarkGate oferuje szereg możliwości, które pozwalają mu uniknąć wykrycia przez oprogramowanie zabezpieczające, zapewnić trwałość poprzez modyfikacje rejestru Windows, podnosić uprawnienia i kraść dane z przeglądarek internetowych i platform oprogramowania, takich jak Discord i FileZilla.

Ponadto nawiązuje komunikację z serwerem dowodzenia i kontroli (C2), umożliwiając takie działania, jak wyliczanie plików, ekstrakcja danych, inicjowanie operacji wydobywania kryptowalut, zdalne przechwytywanie zrzutów ekranu i wykonywanie różnych poleceń.

Zagrożenie to jest sprzedawane głównie na podziemnych forach w modelu subskrypcyjnym. Oferowane punkty cenowe są różne i wahają się od 1000 USD dziennie do 15 000 USD miesięcznie, a nawet do 100 000 USD rocznie. Twórca szkodliwego oprogramowania promuje je jako „najlepsze narzędzie dla testerów pióra/czerwonych drużyn”, podkreślając jego ekskluzywne funkcje, których rzekomo nie można znaleźć nigdzie indziej. Co ciekawe, badacze cyberbezpieczeństwa odkryli wcześniejsze wersje DarkGate, które zawierały również moduł ransomware.

Nie daj się nabrać na sztuczki stosowane w atakach phishingowych

Ataki typu phishing to główna droga rozprzestrzeniania się różnych zagrożeń złośliwym oprogramowaniem, w tym złodziei, trojanów i programów ładujących złośliwe oprogramowanie. Rozpoznawanie takich prób phishingu ma kluczowe znaczenie, aby zachować bezpieczeństwo i nie narażać swoich urządzeń na żadne niebezpieczne zagrożenia dla bezpieczeństwa lub prywatności. Oto kilka typowych sygnałów ostrzegawczych, o których należy pamiętać:

• • Podejrzany adres nadawcy : Sprawdź dokładnie adres e-mail nadawcy. Zachowaj ostrożność, jeśli zawiera błędy ortograficzne, dodatkowe znaki lub nie odpowiada oficjalnej domenie organizacji, z której się podaje.

• • Nieokreślone pozdrowienia : e-maile phishingowe często zawierają ogólne pozdrowienia, takie jak „Drogi Użytkowniku”, zamiast zwracać się do Ciebie po imieniu. Legalne organizacje zazwyczaj personalizują swoją komunikację.

• • Język pilny lub groźny : e-maile phishingowe zwykle wywołują poczucie pilności lub strachu przed koniecznością podjęcia natychmiastowych działań. Mogą twierdzić, że Twoje konto zostało zawieszone. Jeśli nie podejmiesz szybkich działań, poniesiesz konsekwencje.

• • Nietypowe prośby o podanie danych osobowych : Zachowaj ostrożność w przypadku wiadomości e-mail zawierających prośby o podanie poufnych informacji, takich jak hasła, numery ubezpieczenia społecznego lub dane karty kredytowej. Legalne organizacje nie będą prosić o takie informacje za pośrednictwem poczty elektronicznej.

• • Nietypowe załączniki : nie otwieraj załączników od nieznanych nadawców. Mogą zawierać złośliwe oprogramowanie. Nawet jeśli załącznik wydaje się znajomy, zachowaj ostrożność, jeśli jest nieoczekiwany lub nawołuje do podjęcia natychmiastowych działań.

• • Oferty zbyt piękne, aby mogły być prawdziwe : e-maile phishingowe mogą obiecywać niewiarygodne nagrody, nagrody lub oferty, których celem jest nakłonienie Cię do kliknięcia złośliwych łączy lub podania danych osobowych.

• • Nieoczekiwane linki : zachowaj ostrożność w przypadku wiadomości e-mail zawierających nieoczekiwane linki. Zamiast klikać, wpisz ręcznie adres oficjalnej witryny w przeglądarce.

• • Manipulacja emocjonalna : e-maile phishingowe mogą próbować wywołać emocje, takie jak ciekawość, współczucie lub podekscytowanie, aby uzyskać dostęp do linków lub pobrać załączniki.

• • Brak informacji kontaktowych : Legalne organizacje zazwyczaj udostępniają dane kontaktowe. Jeśli w wiadomości e-mail nie ma tych informacji lub podany jest jedynie ogólny adres e-mail, zachowaj ostrożność.

Zachowanie czujności i zdobycie wiedzy na temat tych sygnałów ostrzegawczych może znacznie pomóc w ochronie przed próbami wyłudzenia informacji. Jeśli otrzymasz wiadomość e-mail budzącą podejrzenia, przed podjęciem jakichkolwiek działań lepiej sprawdzić jej autentyczność za pośrednictwem oficjalnych kanałów.