Reduceri pentru mai multe licențe
Threat Database Malware DarkGate Malware

DarkGate Malware

Până în Mezo în Malware
Tradu in:
Română

A fost scoasă la iveală o campanie de malspam care utilizează un malware ușor disponibil cunoscut sub numele de DarkGate. Cercetătorii în domeniul securității cibernetice sugerează că creșterea activității malware DarkGate se datorează probabil deciziei recente a dezvoltatorului de malware de a-l oferi spre închiriere unui grup selectat de parteneri cibernetici. Implementarea acestei amenințări a fost, de asemenea, asociată cu o campanie la scară largă care exploatează firele de e-mail compromise pentru a înșela destinatarii să descarce fără să știe malware.

Malware DarkGate este livrat printr-un proces de atac în mai multe etape

Atacul inițiază prin atragerea victimei către o adresă URL de phishing, care, după ce este făcută clic, trece printr-un sistem de direcție a traficului (TDS). Scopul este de a direcționa victimele nebănuite către o sarcină utilă MSI în anumite condiții specifice. Una dintre aceste condiții este prezența unui antet de reîmprospătare în răspunsul HTTP.

La deschiderea fișierului MSI, se declanșează un proces în mai multe etape. Acest proces implică utilizarea unui script AutoIt pentru a executa shellcode, care servește ca mijloc de decriptare și lansare a amenințării DarkGate printr-un crypter sau încărcător. Pentru a fi mai precis, încărcătorul este programat să analizeze scriptul AutoIt și să extragă încărcătura criptată din acesta.

A fost observată și o versiune alternativă a acestor atacuri. În loc de un fișier MSI, este folosit un Script Visual Basic, care folosește cURL pentru a prelua atât executabilul AutoIt, cât și fișierul script. Metoda exactă folosită pentru a livra Scriptul VB rămâne în prezent necunoscută.

DarkGate poate efectua numeroase acțiuni dăunătoare asupra dispozitivelor sparte

DarkGate are o serie de capabilități care îi permit să evite detectarea de către software-ul de securitate, să stabilească persistența prin modificările registrului Windows, să mărească privilegiile și să fure date din browsere web și platforme software precum Discord și FileZilla.

Mai mult, stabilește comunicarea cu un server de comandă și control (C2), permițând acțiuni precum enumerarea fișierelor, extragerea datelor, inițierea operațiunilor de extragere a criptomonedei, capturarea de capturi de ecran de la distanță și executarea diferitelor comenzi.

Această amenințare este comercializată în principal pe forumuri subterane sub un model de abonament. Punctele de preț oferite variază, variind de la 1.000 USD pe zi la 15.000 USD pe lună și chiar până la 100.000 USD anual. Creatorul malware-ului îl promovează ca „instrumentul suprem pentru pen-tester/red-teamers”, evidențiind caracteristicile sale exclusive care se presupune că nu se găsesc nicăieri altundeva. Interesant este că cercetătorii în domeniul securității cibernetice au descoperit iterații anterioare ale DarkGate care includeau și un modul ransomware.

Nu vă îndrăgostiți de trucurile folosite în atacurile de phishing

Atacurile de tip phishing sunt o cale principală de livrare pentru o varietate de amenințări malware, inclusiv furători, troieni și încărcătoare de malware. Recunoașterea unor astfel de încercări de phishing este esențială pentru a rămâne în siguranță și pentru a nu expune dispozitivele la niciun risc periculos de securitate sau confidențialitate. Iată câteva semnale roșii tipice de care trebuie să fii conștient:

  • Adresă suspectă a expeditorului : verificați cu atenție adresa de e-mail a expeditorului. Fiți atenți dacă conține greșeli de ortografie, caractere suplimentare sau nu se potrivește cu domeniul oficial al organizației din care pretinde că este.
  • Salutări nespecificate : e-mailurile de phishing folosesc adesea salutări generice, cum ar fi „Dragă utilizator”, în loc să vă adreseze numele dvs. Organizațiile legitime își personalizează de obicei comunicarea.
  • Limbajul urgent sau amenințător : e-mailurile de tip phishing tind să creeze un sentiment de urgență sau teamă pentru a determina acțiuni imediate. Aceștia pot pretinde că contul dvs. este suspendat sau vă veți confrunta cu consecințe dacă nu acționați rapid.
  • Solicitări neobișnuite de informații personale : fiți atenți la e-mailurile care solicită informații sensibile, cum ar fi parole, numere de securitate socială sau detalii despre cardul de credit. Organizațiile legitime nu vor solicita astfel de informații prin e-mail.
  • Atașamente neobișnuite : nu deschideți atașamente de la expeditori necunoscuți. Ele pot conține programe malware. Chiar dacă atașamentul pare familiar, fiți precaut dacă este neașteptat sau vă îndeamnă să luați măsuri imediate.
  • Oferte prea bune pentru a fi adevărate : e-mailurile de phishing ar putea promite recompense, premii sau oferte incredibile care au scopul de a vă atrage să faceți clic pe linkuri rău intenționate sau să furnizați informații personale.
  • Linkuri neașteptate : fiți atenți la e-mailurile care conțin linkuri în mod neașteptat. În loc să faceți clic, introduceți manual adresa site-ului oficial în browser.
  • Manipulare emoțională : e-mailurile de tip phishing pot încerca să trezească emoții precum curiozitate, simpatie sau entuziasm pentru a vă face să accesați linkuri sau să descărcați atașamente.
  • Lipsa informațiilor de contact : organizațiile legitime oferă de obicei informații de contact. Dacă un e-mail nu are aceste informații sau oferă doar o adresă de e-mail generică, fiți precaut.

Rămâneți vigilenți și vă educați cu privire la aceste semnale roșii vă pot ajuta în mare măsură să vă protejați de încercările de phishing. Dacă primiți un e-mail care trezește suspiciuni, este mai bine să verificați legitimitatea acestuia prin canale oficiale înainte de a lua orice măsură.

Trending

Cele mai văzute

Se încarcă...