Вредоносное ПО DarkGate

Была раскрыта кампания по рассылке спама с использованием легкодоступного вредоносного ПО, известного как DarkGate. Исследователи кибербезопасности предполагают, что увеличение активности вредоносного ПО DarkGate, вероятно, связано с недавним решением разработчика вредоносного ПО предложить его в аренду избранной группе партнеров-киберпреступников. Развертывание этой угрозы также было связано с крупномасштабной кампанией, в которой используются скомпрометированные потоки электронной почты, чтобы обманом заставить получателей неосознанно загрузить вредоносное ПО.

Вредоносное ПО DarkGate доставляется посредством многоэтапного процесса атаки

Атака начинается с заманивания жертвы на фишинговый URL-адрес, который при нажатии проходит через систему направления трафика (TDS). Цель состоит в том, чтобы направить ничего не подозревающих жертв к полезной нагрузке MSI при определенных условиях. Одним из таких условий является наличие заголовка обновления в ответе HTTP.

При открытии файла MSI запускается многоэтапный процесс. Этот процесс включает использование сценария AutoIt для выполнения шеллкода, который служит средством расшифровки и запуска угрозы DarkGate через шифровальщик или загрузчик. Точнее, загрузчик запрограммирован анализировать скрипт AutoIt и извлекать из него зашифрованную полезную нагрузку.

Также наблюдалась альтернативная версия этих атак. Вместо файла MSI используется сценарий Visual Basic, который использует cURL для получения как исполняемого файла AutoIt, так и файла сценария. Точный метод, использованный для доставки сценария VB, в настоящее время остается неизвестным.

DarkGate может выполнять многочисленные вредоносные действия на взломанных устройствах

DarkGate может похвастаться рядом возможностей, которые позволяют ему уклоняться от обнаружения программным обеспечением безопасности, обеспечивать постоянство посредством изменений в реестре Windows, повышать привилегии и воровать данные из веб-браузеров и программных платформ, таких как Discord и FileZilla.

Кроме того, он устанавливает связь с сервером управления и контроля (C2), позволяя выполнять такие действия, как перечисление файлов, извлечение данных, инициирование операций по добыче криптовалюты, удаленный захват снимков экрана и выполнение различных команд.

Эта угроза в основном распространяется на подпольных форумах по модели подписки. Предлагаемые цены варьируются от 1000 долларов в день до 15 000 долларов в месяц и даже до 100 000 долларов в год. Создатель вредоносного ПО рекламирует его как «идеальный инструмент для пен-тестеров/красных команд», подчеркивая его эксклюзивные функции, которые, предположительно, не встречаются больше нигде. Интересно, что исследователи кибербезопасности обнаружили более ранние версии DarkGate, которые также включали модуль вымогателей.

Не поддавайтесь на уловки, используемые при фишинговых атаках

Фишинговые атаки являются основным путем доставки различных вредоносных программ, включая воров, троянов и загрузчиков вредоносных программ. Распознавание таких попыток фишинга имеет решающее значение для обеспечения безопасности и предотвращения каких-либо опасных угроз безопасности или конфиденциальности ваших устройств. Вот некоторые типичные красные флажки, о которых следует знать:

• • Подозрительный адрес отправителя : внимательно проверьте адрес электронной почты отправителя. Будьте осторожны, если оно содержит орфографические ошибки, лишние символы или не соответствует официальному домену организации, которой оно принадлежит.

• • Неуказанные приветствия . В фишинговых письмах часто используются общие приветствия, например «Уважаемый пользователь», вместо обращения к вам по имени. Законные организации обычно персонализируют свое общение.

• • Срочные или угрожающие выражения . Фишинговые электронные письма, как правило, создают ощущение срочности или страха, побуждая к немедленным действиям. Они могут заявить, что ваша учетная запись заблокирована, или вы столкнетесь с последствиями, если не будете действовать быстро.

• • Необычные запросы личной информации . Будьте осторожны с электронными письмами, в которых запрашивается конфиденциальная информация, такая как пароли, номера социального страхования или данные кредитной карты. Законные организации не будут запрашивать такую информацию по электронной почте.

• • Необычные вложения : не открывайте вложения от неизвестных отправителей. Они могут содержать вредоносное ПО. Даже если привязанность кажется вам знакомой, будьте осторожны, если она неожиданна или призывает вас к немедленным действиям.

• • Предложения «Слишком хорошо, чтобы быть правдой ». Фишинговые электронные письма могут обещать невероятные вознаграждения, призы или предложения, которые призваны побудить вас нажать на вредоносные ссылки или предоставить личную информацию.

• • Неожиданные ссылки . Будьте осторожны с электронными письмами, которые неожиданно содержат ссылки. Вместо нажатия вручную введите адрес официального сайта в браузер.

• • Эмоциональное манипулирование . Фишинговые электронные письма могут пытаться вызвать такие эмоции, как любопытство, сочувствие или волнение, чтобы заставить вас получить доступ к ссылкам или загрузить вложения.

• • Отсутствие контактной информации . Законные организации обычно предоставляют контактную информацию. Если в электронном письме отсутствует эта информация или указан только общий адрес электронной почты, будьте осторожны.

Сохранение бдительности и знание этих тревожных сигналов может во многом защитить вас от попыток фишинга. Если вы получили электронное письмо, вызывающее подозрения, лучше проверить его легитимность по официальным каналам, прежде чем предпринимать какие-либо действия.