Škodlivý softvér DarkGate

Na svetlo sveta sa dostala malspamová kampaň využívajúca ľahko dostupný malvér známy ako DarkGate. Výskumníci v oblasti kybernetickej bezpečnosti naznačujú, že nárast aktivity škodlivého softvéru DarkGate je pravdepodobne spôsobený nedávnym rozhodnutím vývojára malvéru ponúknuť ho na prenájom vybranej skupine kyberzločincov. Nasadenie tejto hrozby bolo tiež spojené s rozsiahlou kampaňou, ktorá využíva napadnuté e-mailové vlákna na oklamanie príjemcov, aby si nevedomky stiahli malvér.

Škodlivý softvér DarkGate sa dodáva prostredníctvom viacstupňového procesu útoku

Útok začína nalákaním obete na phishingovú URL, ktorá po kliknutí prejde cez systém smerovania premávky (TDS). Cieľom je nasmerovať nič netušiace obete na užitočné zaťaženie MSI za určitých špecifických podmienok. Jednou z týchto podmienok je prítomnosť obnovovacej hlavičky v odpovedi HTTP.

Po otvorení súboru MSI sa spustí viacstupňový proces. Tento proces zahŕňa použitie skriptu AutoIt na spustenie shell kódu, ktorý slúži ako prostriedok na dešifrovanie a spustenie hrozby DarkGate pomocou šifrovača alebo zavádzača. Presnejšie povedané, zavádzač je naprogramovaný tak, aby analyzoval skript AutoIt a extrahoval z neho zašifrované užitočné zaťaženie.

Pozorovaná bola aj alternatívna verzia týchto útokov. Namiesto súboru MSI sa používa skript jazyka Visual Basic, ktorý používa cURL na získanie spustiteľného súboru AutoIt aj súboru skriptu. Presná metóda použitá na doručenie skriptu VB zostáva v súčasnosti neznáma.

DarkGate môže vykonať množstvo škodlivých akcií na narušených zariadeniach

DarkGate sa môže pochváliť celým radom schopností, ktoré mu umožňujú vyhnúť sa detekcii bezpečnostným softvérom, zabezpečiť stálosť prostredníctvom úprav registra Windows, zvýšiť privilégiá a ukradnúť údaje z webových prehliadačov a softvérových platforiem ako Discord a FileZilla.

Okrem toho nadväzuje komunikáciu so serverom Command-and-Control (C2), ktorý umožňuje akcie, ako je enumerácia súborov, extrakcia údajov, spustenie operácií ťažby kryptomien, vzdialené snímanie snímok obrazovky a vykonávanie rôznych príkazov.

Táto hrozba sa primárne predáva na podzemných fórach v rámci modelu predplatného. Ponúkané cenové body sa líšia, od 1 000 USD za deň do 15 000 USD za mesiac a dokonca až do 100 000 USD ročne. Tvorca malvéru ho propaguje ako „dokonalý nástroj pre perových testerov/červených tímov“, pričom zdôrazňuje jeho exkluzívne funkcie, ktoré sa údajne nikde inde nenachádzajú. Je zaujímavé, že výskumníci v oblasti kybernetickej bezpečnosti objavili skoršie iterácie DarkGate, ktoré obsahovali aj modul ransomware.

Nenaleťte na triky používané pri phishingových útokoch

Phishingové útoky sú primárnou cestou prenosu rôznych malvérových hrozieb vrátane zlodejov, trójskych koní a zavádzačov malvéru. Rozpoznanie takýchto pokusov o phishing je kľúčové, aby ste zostali v bezpečí a nevystavovali svoje zariadenia žiadnym nebezpečným rizikám v oblasti bezpečnosti alebo ochrany osobných údajov. Tu je niekoľko typických červených vlajok, ktorých si treba uvedomiť:

• • Podozrivá adresa odosielateľa : Starostlivo skontrolujte e-mailovú adresu odosielateľa. Buďte opatrní, ak obsahuje preklepy, znaky navyše alebo sa nezhoduje s oficiálnou doménou organizácie, za ktorú sa vydáva.

• • Nešpecifikované pozdravy : E-maily na neoprávnené získavanie údajov často používajú všeobecné pozdravy ako „Vážený používateľ“ namiesto toho, aby vás oslovovali vaším menom. Legitímne organizácie zvyčajne prispôsobujú svoju komunikáciu.

• • Naliehavý alebo hrozivý jazyk : E-maily na neoprávnené získavanie údajov majú tendenciu vytvárať pocit naliehavosti alebo strachu, aby vyvolali okamžitú akciu. Môžu požadovať, aby bol váš účet pozastavený, alebo ak nebudete rýchlo konať, budete čeliť následkom.

• • Nezvyčajné žiadosti o osobné údaje : Dávajte si pozor na e-maily, ktoré žiadajú o citlivé informácie, ako sú heslá, rodné čísla alebo údaje o kreditných kartách. Legitímne organizácie nebudú žiadať takéto informácie prostredníctvom e-mailu.

• • Nezvyčajné prílohy : Neotvárajte prílohy od neznámych odosielateľov. Môžu obsahovať malvér. Aj keď sa vám príloha zdá povedomá, buďte opatrní, ak je neočakávaná alebo vás nabáda k okamžitému zásahu.

• • Ponuky, ktoré sú príliš dobré na to, aby boli pravdivé : E-maily na neoprávnené získavanie údajov môžu sľubovať neuveriteľné odmeny, ceny alebo ponuky, ktoré vás majú nalákať na kliknutie na škodlivé odkazy alebo poskytnutie osobných informácií.

• • Neočakávané odkazy : Dávajte si pozor na e-maily, ktoré neočakávane obsahujú odkazy. Namiesto kliknutia ručne zadajte adresu oficiálnej webovej stránky do prehliadača.

• • Emocionálna manipulácia : Phishingové e-maily sa môžu pokúsiť vyvolať emócie, ako je zvedavosť, sympatie alebo vzrušenie, aby ste získali prístup k odkazom alebo stiahli prílohy.

• • Nedostatok kontaktných informácií : Kontaktné informácie zvyčajne poskytujú legitímne organizácie. Ak e-mail neobsahuje tieto informácie alebo obsahuje iba všeobecnú e-mailovú adresu, buďte opatrní.

Zostať ostražití a vzdelávať sa o týchto červených vlajkách môže výrazne pomôcť pri ochrane pred pokusmi o neoprávnené získavanie údajov. Ak dostanete e-mail, ktorý vzbudzuje podozrenie, je lepšie overiť jeho oprávnenosť oficiálnymi kanálmi predtým, ako podniknete akékoľvek kroky.