Zlonamerna programska oprema DarkGate

Kampanja zlonamerne pošte, ki uporablja lahko dostopno zlonamerno programsko opremo, znano kot DarkGate, je bila razkrita. Raziskovalci kibernetske varnosti menijo, da je povečanje dejavnosti zlonamerne programske opreme DarkGate verjetno posledica nedavne odločitve razvijalca zlonamerne programske opreme, da jo ponudi v najem izbrani skupini partnerjev kibernetskega kriminala. Uvedba te grožnje je bila povezana tudi z obsežno kampanjo, ki izkorišča ogrožene niti e-pošte, da zavede prejemnike, da nevede prenesejo zlonamerno programsko opremo.

Zlonamerna programska oprema DarkGate je dostavljena prek večstopenjskega napada

Napad se začne tako, da žrtev zvabi na URL lažnega predstavljanja, ki po kliku gre skozi sistem za usmerjanje prometa (TDS). Cilj je nič hudega sluteče žrtve usmeriti na tovor MSI pod določenimi posebnimi pogoji. Eden od teh pogojev je prisotnost osvežitvene glave v odzivu HTTP.

Ob odprtju datoteke MSI se sproži večstopenjski proces. Ta postopek vključuje uporabo skripta AutoIt za izvajanje lupinske kode, ki služi kot sredstvo za dešifriranje in zagon grožnje DarkGate prek šifrirnika ali nalagalnika. Če smo natančnejši, je nalagalnik programiran tako, da analizira skript AutoIt in iz njega izvleče šifrirano koristno vsebino.

Opazili so tudi alternativno različico teh napadov. Namesto datoteke MSI je uporabljen skript Visual Basic, ki uporablja cURL za pridobitev izvršljive datoteke AutoIt in datoteke skripta. Natančna metoda, uporabljena za dostavo skripta VB, trenutno ostaja neznana.

DarkGate lahko izvaja številna škodljiva dejanja na napravah, v katerih je prišlo do zloma

DarkGate se ponaša z vrsto zmogljivosti, ki mu omogočajo, da se izogne odkrivanju varnostne programske opreme, vzpostavi obstojnost s spremembami registra Windows, poveča privilegije in ukrade podatke iz spletnih brskalnikov in programskih platform, kot sta Discord in FileZilla.

Poleg tega vzpostavi komunikacijo s strežnikom Command-and-Control (C2), kar omogoča dejanja, kot so oštevilčenje datotek, ekstrakcija podatkov, začetek operacij rudarjenja kriptovalut, oddaljeni zajem posnetka zaslona in izvajanje različnih ukazov.

Ta grožnja se predvsem trži na podzemnih forumih pod naročniškim modelom. Ponujene cene se razlikujejo in segajo od 1000 USD na dan do 15.000 USD na mesec in celo do 100.000 USD letno. Ustvarjalec zlonamerne programske opreme jo promovira kot "najboljše orodje za preizkuševalce peresa/red-teamers", pri čemer poudarja njene ekskluzivne funkcije, ki jih domnevno ni mogoče najti nikjer drugje. Zanimivo je, da so raziskovalci kibernetske varnosti odkrili prejšnje iteracije DarkGate, ki so vključevale tudi modul izsiljevalske programske opreme.

Ne nasedajte trikom, ki se uporabljajo pri lažnem predstavljanju

Lažni napadi so primarna pot dostave za različne grožnje zlonamerne programske opreme, vključno s kraji, trojanci in nalagalci zlonamerne programske opreme. Prepoznavanje takšnih poskusov lažnega predstavljanja je ključnega pomena, da ostanete varni in ne izpostavite svojih naprav kakršnim koli nevarnim tveganjem za varnost ali zasebnost. Tukaj je nekaj tipičnih rdečih zastav, na katere morate biti pozorni:

• • Sumljiv naslov pošiljatelja : skrbno preverite e-poštni naslov pošiljatelja. Bodite previdni, če vsebuje napačno črkovane besede, dodatne znake ali se ne ujema z uradno domeno organizacije, iz katere trdi, da izhaja.

• • Nedoločeni pozdravi : e-poštna sporočila z lažnim predstavljanjem pogosto uporabljajo splošne pozdrave, kot je 'Dragi uporabnik', namesto da bi vas nagovarjali z vašim imenom. Legitimne organizacije običajno prilagodijo svojo komunikacijo.

• • Nujni ali grozeči jezik : Lažna e-poštna sporočila ponavadi ustvarijo občutek nujnosti ali strahu, da spodbudijo takojšnje ukrepanje. Lahko trdijo, da je vaš račun blokiran, ali pa se boste soočili s posledicami, če ne ukrepate hitro.

• • Nenavadne zahteve po osebnih podatkih : bodite previdni pri e-poštnih sporočilih, ki zahtevajo občutljive podatke, kot so gesla, številke socialnega zavarovanja ali podatki o kreditni kartici. Legitimne organizacije ne bodo zahtevale takih informacij po e-pošti.

• • Nenavadne priloge : Ne odpirajte prilog neznanih pošiljateljev. Lahko vsebujejo zlonamerno programsko opremo. Tudi če se priponka zdi znana, bodite previdni, če je nepričakovana ali vas poziva k takojšnjemu ukrepanju.

• • Preveč dobre, da bi bile resnične ponudbe : Lažna e-poštna sporočila lahko obljubljajo neverjetne nagrade, nagrade ali ponudbe, katerih namen je, da vas zvabijo, da kliknete zlonamerne povezave ali zagotovite osebne podatke.

• • Nepričakovane povezave : bodite previdni pri e-poštnih sporočilih, ki nepričakovano vsebujejo povezave. Namesto da kliknete, ročno vnesite naslov uradne spletne strani v brskalnik.

• • Čustvena manipulacija : E-poštna sporočila z lažnim predstavljanjem lahko poskušajo vzbuditi čustva, kot so radovednost, sočutje ali navdušenje, da bi vas spodbudili k dostopu do povezav ali prenosu prilog.

• • Pomanjkanje kontaktnih podatkov : Legitimne organizacije običajno zagotovijo kontaktne podatke. Če v e-poštnem sporočilu manjkajo ti podatki ali je naveden samo splošen e-poštni naslov, bodite previdni.

Če ostanete pozorni in se poučite o teh rdečih zastavicah, lahko veliko pripomorete k zaščiti pred poskusi lažnega predstavljanja. Če prejmete e-poštno sporočilo, ki vzbuja sume, je bolje, da preverite njegovo zakonitost po uradnih kanalih, preden ukrepate.